Source : MacBidouille.com |
|
Deux nouvelles menaces : OSX.Eleanor et OSX.KeydnapAlors que l'univers de la sécurité sur Mac n'était plus que dans le viseur des Pourriciels Israëliens (Potentially Unwanted Application), deux nouvelles menaces se distinguent ces derniers jours : OSX.Eleanor et OSX.Keydnap, des Chevaux de Troie coquins qui aspirent à déposer une porte dérobée dans nos machines.Disponible un temps sur MacUpdate, EasyDoc Converter ou OSX.Eleanor s'annonce comme un convertisseur de documents. Un script Shell embarqué dans une application Platytpus vérifie si le pare-feu applicatif Little Snitch est installé, puis dépose un shell PHP et des outils connus - Tor, Netcat, ou encore Wacaw pour prendre des photos de l'utilisateur.Derrière ce nuage de fumée, OSX.Eleanor ouvre deux services sur le Dark Web (le shell PHP et une redirection vers le port SSH de la cible), puis envoie ses informations chiffrées sur Pastebin. Le fourre-tout malicieux fait son office et la victime n'a plus qu'à se soumettre à l'imagination de son assaillant.Plus abouti, OSX.Keydnap utilise la ruse du faux document : un exécutable camouflé avec une icône en ressource "Classic" (resource fork icns), un vrai fichier embarqué ou téléchargé, et une extension familière (JPG, TXT) suivie d'un espace. A l'ouverture, le vrai fichier se substitue au leurre, puis la porte dérobée est téléchargée et exécutée.La porte dérobée s'installe et communique des infos sur la cible à un serveur de contrôle sur le Dark Web. Pour échapper à un éventuel antivirus, elle est empaquetée avec une version modifiée d'UPX. Elle se camoufle en agent iCloud dans la liste des processus, et récupère des commandes et des scripts depuis le serveur de l'attaquant. Elle embarque la très efficace preuve de concept KeychainDump : elle a besoin de s'élever en privilège pour cannibaliser nos précieux identifiants.Ces menaces ne sont pas signées avec un certificat développeur d'Apple : elles ne contournent pas Gatekeeper par elle-même.OSX.Elea ...
Il y a - de 2846 jour(s) - vendredi 08 juillet 2016 à 13h51
|
|