La firme de sécurité Sophos a découvert un programme malveillant de plus pour la plateforme Mac OS X, appelé Sabpab. Il utilise la même vulnérabilité Java que Flashback afin de s’installer et d’agir comme un « drive-by download ».
Les utilisateurs d’anciennes versions de Java ont désormais de quoi s’inquiéter concernant les logiciels malveillants !
Le trojan Sabpab n’exige aucune interaction avec l’utilisateur pour infecter un système, de la même manière que Flashback. Le simple fait de visiter une page Web infectée est suffisant. Sabpab, selon Sophos, installe une porte dérobée (un backdoor, NDLR) qui permet à des pirates de réaliser des captures d’écran, de télécharger des fichiers et d’exécuter des commandes à distance sur les Mac infectés.
Le cheval de Troie crée les fichiers suivant au sein du système :
- / Users / / Library / Preferences / com.apple.PubSabAgent.pfile
- / Users / / Library / LaunchAgents / com.apple.PubSabAGent.plist
Les journaux chiffrés sont envoyés vers le serveur de contrôle, de sorte que les pirates peuvent surveiller toute activité.
Symantec identifie le cheval de Troie en tant que OSX.Sabpab qui exploite le Java SE d’Oracle à distance à travers un déni de service dans le Java Runtime Environment dans le but de s’installer sur l’ordinateur compromis.