OSX / Crisis : un nouveau malware Mac détecté par Intego
[Mise à jour du 25/07/2012] : c'est au tour de Sophos de signaler un malware qu'elle nomme OSX/Morcut.A et qui semble être le même. Quand les éditeurs se mettront-ils d'accord sur une dénomination commune ? Jamais.
L'éditeur Intego, spécialisé dans la sécurité sous Mac OS X, a signalé ce 24 juillet 2012 la découverte d'un nouveau malware ciblant Mac OS X, qu'il a nommé “OSX / Crisis”. Les systèmes ciblés sont Mac OS X 10.6 (Snow Leopard) et 10.7 (Lion).
Il s'agit une nouvelle fois d'un cheval de Troie qui s'installe silencieusement, c'est à dire sans aucun message ni symptôme, et installe ensuite une porte dérobée ou “backdoor” en anglais (voir le glossaire, si besoin). Cette porte dérobée permet de contacter un serveur distant à intervalles de 5 mn, en attente d'instructions. Rien que de très “classique”.
Il reste encore beaucoup de zones d'ombre sur le mode d'installation et d'action de ce malware. Ce qu'en dit Intego est qu'il installe entre 14 et 17 fichiers selon qu'il ait ou non des permissions Administrateur. Pas totalement clair…
Dans les deux cas, le dossier suivant est créé : /Library/ScriptingAdditions/appleHID/
Avec des permissions Administrateur, il crée en plus : /System/Library/Frameworks/Foundation.framework/XPCServices/
Ce malware est conçu de telle manière que son mode d'action est plus difficilement déterminable par des outils de “reverse engineering”. Ces techniques “anti-analyse” sont courantes sous Windows, beaucoup moins sous Mac OS X. Mais nous devrons sans doute nous habituer à ce que toutes les techniques utilisées pour d'autres systèmes d'exploitation le soient aussi pour Mac OS X, à chaque fois que cela est possible…
Nous sommes dans l'attente d'informations complémentaires et compléterons cet article quand elles nous parviendront.
Que faire ?
Comme nous l'avons dit à plusieurs reprises, il faut s'y résoudre, Mac OS X n'est plus épargné par les cyber-criminels et les intéresse même d'autant plus que la plupart des utilisateurs Mac ne se protègent pas ou peu.
Nous vous conseillons l'un des deux antivirus suivants :
- Si votre budget est très serré : Sophos Antivirus Home Edition, antivirus gratuit sérieux.
- Si vous pouvez dépenser quelques dizaines d'euros, Intego Mac Internet Security est l'antivirus de référence. Il présente l'avantage notable d'inclure un firewall bi-directionnel, permettant d'inspecter non seulement les connexions entrantes, comme le fait le pare-feu de Mac OS X, mais aussi les connexions sortantes. Quand un malware installe une porte dérobée pour ce connecter à un serveur, ce qui s'avère être le plus courant sous Mac OS X, il s'agit d'une connexion sortante, qui sera détectée par le firewall d'Intego Mac Internet Security.
Pour plus d'informations sur le firewall intégré à Mac OS X, vous pouvez vous reporter à cet article.