SabPab / SabPub : un malware de plus ciblant Mac OS X

SabPab / SabPub : un malware de plus ciblant Mac OS X

Qu’on se rassure tout de suite, la menace que représente SabPab n’a rien à voir avec celle que représentait Flashback (en espérant qu’on puisse en parler à l’imparfait). Mais elle confirme que Mac OS X intéresse bel et bien les cyber-criminels et qu’il est indispensable de se protéger, que l’on choisisse d’installer un antivirus ou non (nous le précisons car beaucoup d’utilisateurs Mac ne veulent même pas en entendre parler ! Pour combien de temps ?).

Il existe deux variantes connues de SabPab (aussi appelé SabPub par certains éditeurs) :

  • L’une utilise, comme Flashback, une faille de Java, corrigée dans les dernières versions, et ne nécessite aucune action de l’utilisateur : la seule visite d’un site web peut suffire à être contaminé (c’est ce qu’on appelle un “drive-by-download”). Ca n’est donc pas un cheval de Troie, bien qu’il soit parfois classifié comme tel, puisqu’il ne nécessite aucune installation. Cette variante a été décrite par Sophosle 13 avril 2012. Elle installe une porte dérobée (back-door) pour se connecter à un serveur. Les pirates peuvent alors transférer des fichiers, prendre des captures d’écrans et exécuter des commandes à distance.Les fichiers installés sont ~/Bibliothèque/Preferences/com.apple.PubSabAgent.pfile et ~/Bibliothèque/LaunchAgents/com.apple.PubSabAGent.plist(le signe “~” désignant votre dossier utilisateur). Pour accéder à votre Bibliothèque utilisateur sous Lion, utilisez le menu Aller du Finder en maintenant la touche Alt enfoncée.Comment vous en protéger : en vérifiant que vous avez la dernière version de Java (via Menu Pomme > Mise à jour de logiciels). Vous pouvez également, comme nous le conseillions pour Flashback, désactiver Java dans vos navigateurs, au moins votre navigateur principal. Contrairement à JavaScript, Java est peu utilisé sur le web, sauf sur des sites de jeux, par exemple.
  • L’autre, également signalée par Sophos le 16 avril, utilise des documents Word contaminés, exploitant une faille de sécurité connue de Microsoft Office 2004 & 2008. Le code n’est exécuté que si vous ouvrez ce document Word. Pour contracter cette variante peu répandue, il faut donc avoir un pack Office 2004/2008 non mis à jour ET ouvrir un document Word suspect. Si le risque n’est pas nul, il est donc très faible.

Même si SabPab représente une menace faible, il confirme encore une fois que la prudence est devenue de rigueur, même pour les utilisateurs Mac.

Il existe de nombreux antivirus pour Mac, gratuits ou payants, de qualité très variable… Nous vous en recommandons deux à la fin de l’article que nous avons consacré à l’utilité d’un antivirus sous Mac OS X.