Kaspersky Lab confirme que le botnet Flashfake/Flashback a infecté plus de 600 000 ordinateurs Mac OS X, et en décrit les ramifications et les remèdes

Kaspersky Lab confirme que le botnet Flashfake/Flashback a infecté plus de 600 000 ordinateurs Mac OS X, et en décrit les ramifications et les remèdes

Les experts de Kaspersky Lab ont récemment analysé Flashfake, un gigantesque botnet qui a infecté plus de 600 000 ordinateurs à travers le monde, et sont parvenus à la conclusion que plus de 98% des machines touchées fonctionnent très vraisemblablement sous l’une ou l’autre version de Mac OS X. Pour contaminer les victimes, les cybercriminels qui se cachent derrière le botnet Flashfake se servent d’un cheval de Troie qui se fait passer pour un programme d’installation de Flash, lequel s’introduit dans l’ordinateur à l’insu de l’utilisateur en exploitant des vulnérabilités de Java. Pour analyser le botnet, les experts de Kaspersky Lab ont procédé à la rétroingénierie du malware Flashfake et enregistré plusieurs noms de domaine susceptibles d’être utilisés par des criminels comme serveur de commande et de contrôle (C&C) du botnet. Cette méthode leur a permis d’intercepter et d’examiner les communications entre les ordinateurs infectés et les autres C&C.

L’analyse a fait apparaître que plus de 600 000 machines ont été infectées, les plus nombreuses se situant aux Etats-Unis (300 917), au Canada (94 625), au Royaume-Uni (47 109) et en Australie (41 600). Grâce à une méthode heuristique de « relevé d’empreintes » du système d’exploitation, les chercheurs de Kaspersky Lab ont pu évaluer la répartition des plates-formes infectées, observant ainsi que 98% des ordinateurs touchés par le botnet Flashfake fonctionnent très vraisemblablement sous Mac OS X. Il est fort probable que les 2% restants sont également des Mac.

Flashfake est une famille de malwares pour OS X apparue en septembre 2011. Dans ses variantes précédentes, des cybercriminels employaient des techniques de « social engineering » pour amener les utilisateurs à télécharger le programme malveillant et à l’installer sur leur système. Or, cette dernière version de Flashfake ne nécessite aucune intervention de l’utilisateur et s’installe par un téléchargement de type « drive by », c’est-à-dire lorsque les victimes consultent à leur insu des sites Web infectés, permettant ainsi au cheval de Troie de se télécharger directement sur leur ordinateur en profitant de vulnérabilités Java. Après l’infection, le cheval de Troie télécharge une charge d’attaque supplémentaire, qui détourne les résultats de recherche dans le navigateur de la victime afin de perpétrer une « fraude au clic ».

Même si aucune autre activité malveillante imputable au cheval de Troie n’a été détectée à ce jour, le risque est néanmoins significatif car le malware agit comme téléchargeur sur l’ordinateur de l’utilisateur, ce qui permet aux cybercriminels qui se cachent derrière Flashfake de diffuser en toute facilité des mises à jour, capables de dérober des informations confidentielles (mots de passe, numéros de carte de crédit, …), en les installant sur les machines infectées.

Bien qu’Oracle ait publié un correctif pour cette vulnérabilité il y a déjà trois mois, Apple a attendu le 2 avril pour proposer une mise à jour de sécurité à ses clients. Les utilisateurs qui ne l’ont pas encore fait doivent installer immédiatement cette mise à jour pour éviter une infection de leur système.

« Le retard de trois mois dans l’envoi d’une mise à jour de sécurité est une décision regrettable de la part d’Apple », commente Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab. « Il existe diverses raisons à cela. Tout d’abord, Apple n’autorise pas Oracle à corriger Java pour Mac mais préfère le faire lui-même, généralement avec plusieurs mois de décalage. Cela signifie que la période de vulnérabilité est bien plus longue pour les utilisateurs de Mac que de PC. C’est particulièrement préjudiciable car la procédure standard de mise à jour antivirale d’Apple se borne à ajouter de nouvelles signatures lorsqu’une menace est jugée suffisamment sérieuse. Apple était au courant de cette vulnérabilité Java depuis trois mois, mais a négligé de publier une mise à jour pendant tout ce laps de temps ! Le problème est accentué par le fait que – jusqu’à présent – Apple bénéficiait de la réputation mythique d’être “à l’abri des malwares”. De nombreux utilisateurs ne sont pas conscients que leur ordinateur a été infecté ou qu’il existe une véritable menace pour la sécurité des Mac. »

Il est conseillé aux utilisateurs de Mac OS X d’installer les plus récentes mises à jour de sécurité d'Apple.

Pour en savoir plus sur le botnet Flashfake, consultez le site Securelist, qui publie la dernière analyse en date d’Igor Soumenkov, expert de Kaspersky Lab.

16.04.2012

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.