Un malware voleur de mots de passe cible de nouveau le client BitTorrent Transmission

Protection des donnéesSécurité MacCybercriminalitéMacSécuritéSophos
client-bittorent-transmission

Un malware voleur de mots de passe cible de nouveau le client BitTorrent Transmission

client-bittorent-transmissionAvoir le logiciel officiel de son Mac attaqué par un malware peut être considéré comme malheureux, mais avoir ce dernier attaqué 2 fois, ressemble à de la négligence (Toutes nos excuses à Oscar Wilde).

La première fois que ce type de piratage est arrivé, au très populaire client BitTorrent Transmission, c’était en Mars 2016.

Pendant un certain temps, la version Mac du client BitTorrent Transmission 2.90 sur le site officiel, était en réalité une version pas si officielle que cela, avec un invité surprise caché à l’intérieur : le ransomware OS X appelé OSX/KeRanger-A.

Cette fois, pendant moins de 24 heures, le 28 Août 2016 et le 29 Août 2016, une version piégée du client BitTorrent Transmission 2.92 avait été uploadée et contenait le malware connu sous nom : OSX/PWSSync-B.

Bizarrement, la principale fonctionnalité ajoutée à la version 2.92 lors de sa sortie, et la raison pour laquelle d’ailleurs vous avez certainement appliqué cette mise à jour, était l’utilitaire permettant de supprimer le malware KeRanger, au cas où vous auriez une infection résiduelle au niveau de la version 2.90 piratée :

client-bittorent-transmissionA propos, PWS, l’acronyme de Password Stealer (pour bien vous faire comprendre le rôle exact de ce malware) est aussi connu sous le nom de “Keydnap”, un nom aussi très explicite (essayer de le prononcer assez rapidement et à haute voix !).

Le piratage opéré au nouveau du client BitTorrent Transmission, cette fois était très similaire au précèdent.

Le programme de piratage de l’application Transmission contenait uniquement un léger changement : un petit bout de code ajouté au début, qui chargeait un fichier appelé License.rtf, lui-même intégré à l’application et à son environnement (la dernière fois, le fichier piégé et rajouté s’appelait General.rtf).

client-bittorent-transmissionLe code de la version piratée du client BitTorrent Transmission commence par charger License.rtf depuis le sous répertoire Resources

Le fichier License.rtf semble à priori inoffensif, en effet quel logiciel aujourd’hui n’inclus pas un document relatif à la licence ? De plus, en l’ouvrant tout semble se passer pour le mieux.

client-bittorent-transmissionSeulement le problème est que ce fichier License n’est pas ce qu’il prétend être.

En réalité, il s’agit d’un exécutable OS X (un fichier type programme) qui :

  • se configure lui-même en tant que LaunchAgent OS X, et s’exécute automatiquement à chaque redémarrage ou connexion.
  • dérobe les mots de passe et d’autres identifiants depuis votre OS X Keychain, le gestionnaire de mots de passe intégré à votre Mac.
  • effectue des Call-Home, afin de télécharger des scripts additionnels à lancer ultérieurement.

Au fait n’oubliez pas qu’auparavant, avant que les ransomwares et leur capacité chiffrer vos données pour vous inciter à payer rapidement, ne deviennent des vedettes, la plupart des malwares intégraient un zombie ou un bot tels que le troisième élément mentionné ci-dessus.

Ainsi, n’oubliez pas que même si  la partie de OSX/PWSSync-B, qui dérobe les identifiants est assez nocif en lui-même …

… les malwares qui intègrent une fonction du type “téléchargement d’un nouveau fichier et lancement de celui-ci”, peuvent de manière évidente être remis à jour à tout moment, afin de commettre des cybercrimes supplémentaires sous le contrôle de son botmaster.

Le client BitTorrent Transmission piraté Transmission.app contient une signature électronique, ainsi si vous le lancez, vous ne verrez pas s’afficher une alerte du “développeur inconnu”, cependant la signature ne permet pas d’identifier le développeur, comme on pourrait s’y attendre, dans le cas d’un fichier Transmission officiel :

FAKE APP (AUGUST 2016):
Identifier=org.m0k.transmission
Authority=Developer ID Application: Shaderkin Igor (836QJ8VMCQ)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Signed Time=Aug 28, 2016, 5:09:55 PM
TeamIdentifier=836QJ8VMCQ

REAL APP:
Identifier=org.m0k.transmission
Authority=Developer ID Application: Digital Ignition LLC
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=6 Mar 2016, 20:01:41
TeamIdentifier=5DPYRBHEAR

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Si vous êtes à l’aise avec l’invite de commande Bash, vous pouvez extraire les détails présentés ci-dessous, à partir de n’importe quelle application Mac, en utilisant la commande : codesign --details --verbose=4 Nameofthe.app.

[/vc_message][/vc_column][/vc_row]

Pour votre information, voici la signature du développeur, telle que renseignée lors du dernier piratage du du client BitTorrent Transmission :

FAKE APP (MARCH 2016):
Identifier=org.m0k.transmission
Authority=Developer ID Application: POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Signed Time=Mar 4, 2016, 9:36:28 PM
TeamIdentifier=Z7276PX673

Quoi faire ?

Si vous êtes un utilisateur Windows, vous pouvez vous arrêter tout de suite ici : pour une fois vous avez le petit privilège d’être confronté à une attaque de malwares qui ne s’applique pas à vous !

Ce vecteur d’infection s’applique seulement si vous :

  • Avez un Mac qui fonctionne sous OS X.
  • Avez téléchargé le client BitTorrent Transmission 2.92 le 28 et 29 Août 2016.
  • Avez effectivement lancé le fichier piégé de l’application Transmission que vous avez téléchargé.

Si vous pensez que vous êtes peut être en danger, ou si voulez faire une vérification de votre Mac de toutes les façons (juste pour être sûr), vous pouvez utiliser notre produit totalement gratuit : Sophos Home.

Sophos détecte ces malwares sous les noms suivants : OSX/PWSSync-B et OSX/PWSSync-E.



//platform.twitter.com/widgets.js
Partagez Un malware voleur de mots de passe cible de nouveau le client BitTorrent Transmission : http://wp.me/p2YJS1-2UB
Billet inspiré de Mac password-stealing malware haunts Transmission app… again, par Paul Ducklin, Sophos NakedSecurity.

Leave a Reply

Your email address will not be published.