Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET vient de détecter une menace sur MAC OS

novembre 2011 par ESET

ESET spécialiste en matière de détection proactive des menaces, annonce la découverte d’un malware de type Troyen contrôlé via un C&C IRC (Commande & Contrôle via le protocole IRC). Ce malware permet de transformer la machine infectée en un Botnet afin de pouvoir lancer des attaques DDOS (déni de services). L’originalité de ce malware tient au fait qu’il s’agit d’un portage d’un malware linux vers Mac OSX. Cette différence est immédiatement identifiable en observant la similitude des deux codes. Cette nouvelle variante est un exécutable Mach-O 64 bits alors que pour la version Linux, il s’agit d’une version ELF binaire (Unix/Linux). Cette famille de troyens issus du monde Linux, a déjà été détectée par les laboratoires d’ESET depuis 2002, sous l’appellation Linux/Tsunami. Cette découverte met en lumière la réalité des menaces véhiculées par l’Internet, quelle que soit la plate-forme, et démontre que l’environnement Mac n’est pas a priori hors d’atteinte.

En plus de pouvoir générer des attaques DDoS, le malware permet à un utilisateur distant de télécharger des fichiers présents sur la machine infectée, de recevoir des commandes ou de mettre à jour le code Tsunami. Le malware peut également exécuter des commandes shell (administrateur), lui donnant la capacité de prendre le contrôle complet de la machine infectée.

Peu après cette découverte, les chercheurs d’ESET ont repéré une nouvelle version de cette même menace semblable à la précédente, mais avec deux différences importantes. La première version détectée auparavant ne persistait pas après un redémarrage tandis que la nouvelle se relance à chaque démarrage de la machine via la création d’un fichier :

« /System/Library/LaunchDaemons/com.apple.logind.plist » permettant de lancer le binaire malveillant situé dans « /usr/sbin/logind ». Autre différence, cette variante du code contient de nouveaux paramètres au niveau du serveur IRC, du channel ainsi que du mot de passe permettant de se connecter au channel.

Bien que les échantillons analysés proviennent de deux continents différents, le centre de supervision d’ESET indique un très faible pourcentage de systèmes infectés. On peut donc supposer que ce malware est en phase de fin de développement et/ou de tests et que le risque est encore limité pour l’instant. Les chercheurs d’ESET continuent cependant à surveiller de près cette menace car elle laisse présager de nouvelles formes plus élaborées.

Selon Pierre-Marc Bureau, Chercheur en Malware chez ESET, « Cette menace n’a pas la sophistication et la complexité des malwares TDL4 ou Win32/Duqu. Nous pensons que le risque pour les utilisateurs Mac est encore limité, même si ce malware semble évoluer rapidement. »

Les logiciels de sécurité d’ESET, aussi bien sous Linux que sur Mac, détectent ce type de malware sous le nom OSX/Tsunami.A.




Voir les articles précédents

    

Voir les articles suivants