Les pirates intensifient leurs attaques sur Mac OS X

0

Le mythe de l’inviolabilité du système Mac OS X est mis à mal par les récents malwares développés spécialement pour l’OS à la pomme.

Autrefois présentés comme la crème de la sécurité du système, les systèmes Mac OS X sont désormais confrontés à un ensemble de menaces allant de faux logiciels antivirus à des outils avancés de développement de malwares. À cela s’ajoute le grand nombre d’exploits de type « Zero day » ainsi que des failles au sein des logiciels Apple et des applications tierces.

MacDefender : un faux antivirus pas tout à fait classique

Les faux antivirus ne constituent pas une nouveauté pour les utilisateurs d’OS X, mais MacDefender passe à un niveau bien supérieur. L’empoisonnement classique par SEO, associé à l’option de Safari « ouvrir automatiquement les fichiers “fiables” » facilite l’extraction du malware de son archive et son exécution, sans intervention de l’utilisateur. Pour être installée, l’application requiert toutefois le mot de passe de l’administrateur, mais la plupart des utilisateurs non experts sont enclins à le saisir.

Le faux antivirus MacDefender à l’œuvre

Le processus d’installation se déroule comme suit : l’utilisateur Mac effectue une recherche d’images (par exemple, des images sur la mort de Ben Laden). Lorsqu’il clique sur un lien vérolé, une fausse analyse est lancée sur son écran, qui conclut en indiquant à l’utilisateur que son système est infecté par des malwares. Cette pratique est souvent utilisée par les faux antivirus. La victime est alors piégée et prête à payer pour trouver une solution à son  problème.

La fausse analyse propose évidemment une solution : un logiciel antimalware non enregistré qui apparaît à l’écran. L’utilisateur doit simplement télécharger un fichier .zip dont le nom ressemble à « BestMacAntivirus2011.mpkg.zip ». La désinfection ne débutera que lorsque l’utilisateur aura versé une somme modique considérée, dans ces circonstances, comme une bénédiction par l’utilisateur. En plus de cette somme d’argent, le cyber-escroc dispose alors également les informations de la carte bancaire de l’utilisateur.

Ce malware a été détecté pour la première fois le 2 mai, et depuis, de nouvelles variantes sont apparues sous différents noms, tels que MAC Defender, Mac Security et comme nous vous le rapportions récemment, Mac Protector.

Des kits malveillants efficaces

Passons maintenant au kit crimeware « à monter soi-même »  dont nous avons découvert l’existence le mois dernier. Connu sous le nom de « Weyland –Yutani », cet outil de création de malwares est conçu pour mettre en place un charmant botnet avec l’aide de cybercriminels néophytes. Le builder est vendu sur les forums underground depuis quelque temps déjà et permet aux cyber-escrocs moins expérimentés de créer leur propres malwares en indiquant simplement certaines informations dans celui-ci. Le kit Weyland-Yutani comprend un builder, un panneau d’administration et possède également des fonctions de chiffrement. Les bots qu’il développe supportent les injections web et la récupération de formulaires dans Firefox et, selon son auteur, Chrome et Safari suivront bientôt. Les modèles d’injections Web sont identiques à ceux de Zeus et SpyEye. S’il est vrai qu’il y a eu d’autres tentatives de création de kits de malwares « à monter soi-même » pour les utilisateurs de Mac OS X, telles que le bundle HellRaiser, Weyland-Yutani est bien plus sophistiqué.

La bonne nouvelle est que l’auteur ne vend plus le kit à des particuliers, ce qui signifie que peu de builders ont été vendus à ce jour. La mauvaise nouvelle est que nous avons observé cette situation à l’âge d’or de Zeus, lorsque le kit d’origine à monter soi-même avait été retiré pour être amélioré et vendu sous le nom de SpyEye.

 

Des failles logicielles conduisent à l’exécution de code à distance

La mise à jour logicielle publiée le mois dernier par Apple est impressionnante. Son bulletin de sécurité du mois d’avril indique que l’éditeur a publié pas moins de 9 correctifs pour différents types d’attaques allant du débordement de mémoire tampon à la corruption de mémoire dans de multiples applications et bibliothèques. Toutes ces failles permettent l’exécution de code arbitraire à distance lorsqu’un fichier vidéo ou une image malveillante est ouverte. Plus précisément, lorsque vous ouvrez un film ou une image sur Internet, quelqu’un peut exécuter du code (installer des malwares) sur votre Mac sans aucune intervention de votre part. Aucun mot de passe administrateur n’est requis.

D’autres correctifs règlent les problèmes de débordement de mémoire tampon et de corruption de mémoire dans les composants de gestion des polices qui permettent également à un attaquant d’installer des malwares à distance sur un ordinateur, sans l’interaction de l’utilisateur. Il suffit pour cela de consulter un site Web contenant une police intégrée spécialement conçue. L’élévation de privilèges est également abordée dans le bulletin : « un problème au niveau de la vérification des privilèges dans le système i386_set_ldt peut permettre à un utilisateur local d’exécuter un code arbitraire avec des privilèges système » indique le document. Cela signifie que, dans certaines circonstances, des personnes non administratrices peuvent exécuter et installer des logiciels, ce qui facilite grandement l’ingénierie sociale.

Je n’aborderai pas ici les autres vulnérabilités de logiciels tiers pouvant prendre le contrôle de votre Mac, mais signalons que Skype a publié un avis de sécurité au sujet d’une faille permettant à un attaquant de prendre le contrôle d’un système en envoyant simplement un message spécialement conçu. Plutôt simple non ?

En résumé

Maintenant que Mac OS X représente plus de 10% de parts de marché, les cyber-escrocs semblent déterminer à cibler les utilisateurs Mac. Si vous pensez que vous n’avez pas besoin d’une solution de sécurité car vous êtes sous Mac OS X, vous serez sans doute surpris d’apprendre qu’au cours de la dernière conférence Pwn2Own, une personne est parvenue à prendre le contrôle d’un ordinateur Mac OS X 10.6.6 disposant des derniers correctifs et fonctionnant sous Safari 5.0.3 en moins de 5 secondes, le rendant ainsi vulnérable à d’autres attaques.

 

Source : Malware City

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.