[Mise à jour du 25/07/2012] : c’est au tour de Sophos de signaler un malware qu’elle nomme OSX/Morcut.A et qui semble être le même. Quand les éditeurs se mettront-ils d’accord sur une dénomination commune ? Jamais.
L’éditeur Intego, spécialisé dans la sécurité sous Mac OS X, a signalé ce 24 juillet 2012 la découverte d’un nouveau malware ciblant Mac OS X, qu’il a nommé « OSX / Crisis ». Les systèmes ciblés sont Mac OS X 10.6 (Snow Leopard) et 10.7 (Lion).
Il s’agit une nouvelle fois d’un cheval de Troie qui s’installe silencieusement, c’est à dire sans aucun message ni symptôme, et installe ensuite une porte dérobée ou « backdoor » en anglais (voir le glossaire, si besoin). Cette porte dérobée permet de contacter un serveur distant à intervalles de 5 mn, en attente d’instructions. Rien que de très « classique ».
Il reste encore beaucoup de zones d’ombre sur le mode d’installation et d’action de ce malware. Ce qu’en dit Intego est qu’il installe entre 14 et 17 fichiers selon qu’il ait ou non des permissions Administrateur. Pas totalement clair…
Dans les deux cas, le dossier suivant est créé : /Library/ScriptingAdditions/appleHID/
Avec des permissions Administrateur, il crée en plus : /System/Library/Frameworks/Foundation.framework/XPCServices/
Ce malware est conçu de telle manière que son mode d’action est plus difficilement déterminable par des outils de « reverse engineering ». Ces techniques « anti-analyse » sont courantes sous Windows, beaucoup moins sous Mac OS X. Mais nous devrons sans doute nous habituer à ce que toutes les techniques utilisées pour d’autres systèmes d’exploitation le soient aussi pour Mac OS X, à chaque fois que cela est possible…