Un nouveau backdoor constitue une menace persistante avancée pour les utilisateurs de Mac

20 avr. 2012
Actualités Virus

Le fameux cheval de Troie Flashfake, qui a contribué à la création d’un botnet comptant plus de 700 000 ordinateurs Mac est peut-être l’exemple le plus médiatisé des vulnérabilités de l’environnement Mac OS X, mais ce n’est certainement pas la seule. Les chercheurs de Kaspersky Lab ont ainsi découvert un autre programme malveillant qui vise les ordinateurs Apple et a pour la suite été confirmé en tant que menace persistante avancée (APT). A la différence du cheval de Troie Flashfake, qui a mis en lumière les dangers théoriques pour un environnement Mac OS X non protégé, le nouveau malware connu sous le nom de Backdoor.OSX.SabPub.a constitue un exemple concret du risque de prise de contrôle totale d’un ordinateur Apple vulnérable par des cybercriminels.

Cette nouvelle porte dérobée (« backdoor ») a été repérée début avril 2012. Tout comme Flashfake, elle exploite certaines vulnérabilités de la machine virtuelle Java. Le nombre d’utilisateurs infectés par ce malware est relativement faible, indiquant que celui-ci sert à des attaques ciblées. Une fois activé sur un système infecté, il se connecte à un site Web distant afin d’y obtenir des instructions. Le serveur de commande et de contrôle est hébergé aux Etats-Unis et utilise un service gratuit de DNS dynamique pour acheminer les requêtes des ordinateurs infectés.

La suite des événements a confirmé l’hypothèse initiale selon laquelle SabPub s’inscrit dans le cadre d’une attaque ciblée. Les experts de Kaspersky Lab ont configuré une fausse machine victime, infectée par le backdoor, et y ont détecté le 15 avril des activités suspectes. Les attaquants ont pris le contrôle du système infecté et commencé à l’analyser. Ils ont envoyé des commandes afin de voir le contenu des dossiers Ordinateur (root) et Départ (home), et même téléchargé certains des documents factices stockés dans le système. Il est fort probable que cette analyse a été effectuée manuellement, plutôt que de façon automatisée, ce qui est peu vraisemblable dans un malware « de masse » très répandu. Par conséquent, nous pouvons confirmer que ce backdoor est un exemple actif de menace persistante avancée.

Au cours de l’analyse du backdoor, d’autres détails sont apparus concernant le vecteur d’infection d’une attaque ciblée. Les chercheurs de Kaspersky Lab ont ainsi découvert six documents Microsoft Word, tous contaminés. Deux d’entre eux répandent la charge d’attaque SabPub. La tentative d’ouverture des quatre autres documents sur un système vulnérable déclenche une infection par un autre malware spécifique au Mac. Le contenu de l’un des documents véhiculant SabPub faisait directement référence à la communauté tibétaine. Par ailleurs, le lien évident entre SabPub et LuckyCat, une autre attaque ciblant les machines Windows, pointe vers des activités criminelles diverses et répandues ayant la même origine.

Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « Le backdoor SabPub démontre une fois encore qu’aucun environnement logiciel n’est invulnérable. Le nombre relativement faible de malwares sous Mac OS X ne signifie pas que ce dernier est mieux protégé. Les derniers incidents en date tels que Flashfake et SabPub indiquent que les données personnelles des utilisateurs de Mac non protégés sont également menacées, soit car les cybercriminels prennent conscience de la part de marché croissante de ces machines, soit parce qu’ils ont été spécialement engagés pour s’attaquer aux ordinateurs Apple. »

Le malware Backdoor.OSX.SabPub.a, ainsi que les vulnérabilités correspondantes, a été détecté et corrigé par Kaspersky Anti-Virus 2011 pour Mac. D’autres détails concernant ce backdoor sont disponibles dans le rapport initial et l’analyse de suivi sur le site securelist.com.

  PARTAGER