Le top 5 des malwares à connaître sous Mac OS X

2
128

Pourquoi avez-vous besoin d’un antivirus sous Mac OS X : un aperçu des logiciels malveillant les plus agressifs ciblant les utilisateurs de Mac OS X.

Depuis longtemps, les possesseurs de Mac OS X se sont vantés d’être plus en sécurité et plus «intelligents» que les utilisateurs de PC ordinaires utilisant des systèmes d’exploitation Windows. Les utilisateurs de Mac OS X représentaient une petite fraction des Internautes. Toutefois, comme le nombre d’utilisateurs adoptant Mac OS X s’est fortement accru, l’intérêt des auteurs de programmes malveillants a bien entendu lui aussi augmenté.

À l’heure actuelle, il existe environ 300 e-menaces spécialement conçues pour la plate-forme Mac OS X. Certaines d’entre elles sont des applications simples à base de adwares prêt à s’abattre sur des imprudents, mais d’autres sont des outils très dangereux qui peuvent facilement détourner des sessions de e-banking ou qui exposent l’ensemble de l’ordinateur à l’attaquant (botnets). Ci-dessous nous aimerions vous présenter quelques-uns des plus dangereux malwares que vous devriez connaître si vous utilisez un ordinateur Mac.


Trojan.OSX.Jahlav.A & Trojan.OSX.Jahlav.A – Les faux codecs

Le malware OSX.Jahlav a été découvert en novembre 2008, quand il a commencé à être distribué en tant que faux codec. Afin d’inciter les utilisateurs à le télécharger et à installer le ficher DMG malveillant, le gang derrière cette menace a créé une page qui se prétend disposer une vidéo impossible à lire sans ce codec. Si l’utilisateur installe ce codec, le programme malveillant commence à télécharger les chevaux de Troie supplémentaires à partir d’un serveur Web distant.


Trojan.OSX.RSPlug.A – Quand le porno est utilisé pour le phishing, même sous Mac

C’est l’une des familles les plus dangereuses des logiciels malveillants fonctionnant sur Mac OS X. Le cheval de Troie RSPlug joue également la carte du codec manquant codec de persuader l’utilisateur à télécharger et installer le DMG infecté. Il est présent en particulier sur les sites Internet à contenu pornographique. Une fois installé, le cheval de Troie modifie les entrées des serveurs DNS afin de rediriger le trafic provenant d’adresses légitimes vers des domaines usurpés mis en place par les hameçonneurs pour collecter des informations critiques sur les comptes bancaires en ligne, les e-mail, etc.

Ce genre d’attaque est extrêmement difficile à détecter, puisque l’utilisateur sera redirigé vers la version fausse du site, même quand il tapera manuellement l’URL correcte (y compris en utilisant un favoris). Le seul indice serait l’absence du certificat SSL, mais, tous les utilisateurs ne font pas attention à ce détail pourtant très important.

D’autres utilisations du cheval de Troie RSPlug sont des redirections de requêtes des utilisateurs vers des sites pornographiques ou à des sites demandant d’installer des adwares / malwares ou participer à des enquêtes souvent très lucratives pour les cybercriminels.


Trojan.OSX.HellRTS.A – L’outil de prise de contrôle (Remote Access Tool)

Le Trojan.OSX.HellRTS.A est plus qu’une simple e-menace. Il s’agit d’un kit complexe de développement de logiciels malveillants qui permet à un attaquant de créer son propre malware pour Mac OS X en un rien de temps. Le pack contient une application client-serveur, où le serveur est est service de porte dérobée en cours d’exécution sur la machine infectée et l’application cliente est utilisée par l’attaquant afin d’exécuter des commandes à distance. Mis à part le client et le serveur, le pack contient un configurateur – une configuration d’application qui “affine” des aspects essentiels tel que le port d’écoute ou le mot de passe de connexion, ainsi que d’une carte d’acquisition SMTP – utilisée pour le routage de tous les messages de la victime vers l’attaquant.

Siun  système a été infecté, un attaquant distant peut exécuter un large éventail d’opérations sur celui-ci, allant de farces ennuyeuses (comme le lancement d’un chat, le lancement d’applications et de pages web, ou encore l’arrêt du système / déconnexion de l’utilisateur, etc) à des opérations extrêmement nuisibles (y compris l’exécution de code binaire, aller chercher toutes les données disponibles sur le disque dur ou le routage de tous les mails entrants vers l’adresse d’un attaquant). L’attaquant peut également voir le travail de l’utilisateur à son insu par l’intermédiaire du module Desktop View.


Trojan.OSX.OpinionSpy.A – Capture d’écran pour espionnage sous Mac

La famille de logiciels espions OpinionSpy est généralement installée par un certain nombre d’applications librement distribuées, tels que les économiseurs d’écran et les convertisseurs audio / vidéo. Le programme d’installation de ces applications va chercher le paquet des logiciels espions, et va les installer et les exécuter avec les privilèges root. Trojan.OSX.OpinionSpy.A se présente comme un outil de recherche marketing, mais il fait plus que de recueillir les habitudes de navigation des utilisateurs et leurs préférences : il ouvre également des portes dérobées et vol un grand nombre de documents trouvés sur les disques locaux et distants de la machine infectée. Le cheval de Troie représente un grand danger pour la vie privée de l’utilisateur et pour la sécurité des données stockées.


Trojan.OSX.Boonana.A – Le ver des réseaux sociaux

Le Trojan.OSX.Boonana.A est une e-menace multi-plateforme qui peut s’exécuter sur Windows, Mac OS X ou Linux. Ce programme basé sur Java permet le téléchargement de logiciels malveillants dans le dossier home de l’utilisateur dans un dossier invisible appelé “. jnana”, puis d’installer un serveur IRC local et Internet, entre autres. Le malware Boonana tentera également de modifier les paramètres du serveur DNS afin de détourner les demandes de sites Web légitimes vers des sites falsifiés dans le cadre de coampagnes de phishing extrêmement efficaces.

Afin de profiter d’une expérience de navigation sécuritaire, nous vous conseillons d’installer une solution de sécurité pour Mac OS X telle que celle fournie par BitDefender.

Tous les produits et noms de société mentionnés dans ce document sont à des fins d’identification uniquement et sont la propriété de, et peuvent être des marques commerciales de leurs propriétaires respectifs.


Traduction d’un article de Bogdan Botezatu pour MalwareCity

2 Commentaires

Les commentaires sont fermés.