Attaques sur les utilisateurs de Mac
Voici dans la série "je ne pirate pas que du Windows"des pirates qui on taper fort!
Une série d'attaques ciblées sur les ONG au Tibet, les assaillants visent non seulement des systèmes Windows, mais aussi Mac. Les pirates ont envoyé des emails à des ONG contenant soit des fichiers Office contaminés ou des liens vers un site web malveillant.
Certains des fichiers Office pourraient infecter Mac en exploitant une faille de sécurité dans Office pour Mac. Cette vulnérabilité a été corrigée il y a trois ans mais ne peut bien sûr être efficace que si le patch est bien installé.
Les liens dans les emails ciblent des pages qui contiennent un exploit Java qui a profité d'un "gap" (CVE-2011-3544) qui a été corrigé en Novembre dernier.
La particularité de cette attaque est qu'elle utilise un dropper* sur le site web qui pourrait infecter à la fois Windows et Mac (en supposant qu'un système de mise à jour de Java n'a pas été installé). Selon le système d'exploitation qui a été utilisé pour charger la page (détecté en analysant le useragent), un malware approprié a été sélectionné qui ouvrirait une backdoor dans le système pour les pirates.
Lors de l'installation sur un système Windows, le malware déployé était une variante de Gh0st RAT (un trojan d'accès à distance). Sur Mac par contre, c'était un nouveau malware nommé OSX / Lamadai.A qui a été utilisé. Eset a analysé ce malware et a constaté qu'il se copiait dans /Library/Audio/Plug-Ins/AudioServer qui, pour les utilisateurs sous OS X 10.7.2 semble signifier qu'il n'est pas persistant. Une fois installé, il tente d'appeler un serveur C&C avec une connexion chiffrée. Eset a observé qu'un pirate s'est connecté sur une de leur machine de test pour parcourir le système de fichier et récupérer le fichier keychain (gestionnaire de mots de passe sous Mac) et les cookies de Safari. La vulnérabilité dans le système Mac Java a été patché dans Java pour Mac OS X 10.7 Update 1 et la 10.6 en Novembre 2011. Pensez donc à vous maintenir à jour.
Droper*
Parasite chargé d'introduire, décompresser et installer un autre parasite.
Forme minimaliste de trojan juste chargée d'introduire, décompresser et installer une malveillance. Forme typique de l'installation d'un virus. Peut même s'autodétruire une fois sa tâche accomplie. Il existe une quantité incroyable de droppers, plusieurs milliers probablement, chacun étant une déclinaison de quelques matrices de droppers.
Le problème est triple :
- Le fait que le dropper soit présent sur une machine signifie qu'elle a été pénétrée. Il y a donc une faille de sécurité à chercher.
- Le dropper en lui-même qui est une malveillance à éradiquer
- La ou les malveillances qu'il a pu installer. Il convient de scanner intégralement la machine ou le réseau.