Site icon Sophos News

RSA 2017 : Anatomie de malwares Mac

RSA 2017 : Anatomie de malwares Mac

Bien que les malwares Mac soient relativement rares, les ordinateurs Apple ne sont pas pour autant immunisés, comme l’a montré les prévisions du SophosLabs en matière de malwares pour cette année. Les malwares Mac sont souvent techniquement sournois et orientés vers la collecte de données ou un accès secret et à distance, offert à des cybercriminels.

Voici deux exemples présentés : OSX/KeRanger-A et OSX/PWSSync-B.

OSX/KeRanger-A

La première application officielle Transmission (version 2.90) infectée par OSX/KeRanger a été découverte début Mars 2016. Quelques jours plus tard, la version infectée a été retirée et placée sous contrôle, en intégrant un code pour surveiller KeRanger en particulier, et qui faisait partie ensuite de la version 2.92.

Les cybercriminels en général utilisent la même formule pour leurs ransomwares que celle qui a si bien fonctionné sous Windows.

Afin d’éviter ce qui suit vous pouvez éduquer vos utilisateurs à la sécurité avec nos conférences intra-entreprise.

Les hackers et leurs malwares Mac exécutent les étapes suivantes :

Les victimes reçoivent alors le message suivant :

Pour éviter d’être infecté, Sophos a alors recommandé les actions suivantes :

OSX/PWSSync-B

Un autre exemple de problème pour les utilisateurs de Mac est apparu en août dernier, quand une fausse version de Transmission 2.92 a été téléchargée, avec un malware connu sous le nom d’OSX/PWSSync-B. Ironiquement, la fonctionnalité principale ajoutée lorsque la version 2.92 est sortie, était un utilitaire de suppression de malwares Mac pour le ransomware MacOS OSX/KeRanger-A.

Un piratage similaire visant l’application Transmission a eu lieu le même mois. Le programme Transmission piraté contenait un petit changement : un petit bout de code ajouté au début qui chargeait un fichier appelé License.rtf, et qui était fourni dans le pack d’applications (la fois précédente, le fichier supplémentaire malveillant s’intitulait General.rtf).

Le fichier License.rtf semble assez innocent. En effet, quel logiciel n’inclut pas une licence ! Ainsi, ouvrir ce dernier semblait plutôt sans risque.

Sauf que cette licence n’est pas ce qu’elle semble être.

Il s’agissait en fait d’un exécutable MacOS (fichier programme) qui :

Les personnes touchées :

Les “bad guys” en question sont montés en puissance grâce à ces attaques, et nous nous attendons à en voir davantage encore en 2017.

//platform.twitter.com/widgets.js
Billet inspiré de RSA 2017: Deconstructing macOS ransomware, par Bill Brenner, Sophos NakedSecurity.

Exit mobile version