Eleanor : un malware utilise Tor pour une backdoor sur Mac

Le par  |  15 commentaire(s)
malware-clavier

Un nouveau malware pour Mac a été repéré. Il utilise le service d'anonymisation Tor pour obtenir un accès complet à un système OS X infecté.

Les chercheurs en sécurité de Bitdefender donnent l'alerte au sujet d'un malware pour Mac. Dénommé Eleanor, il se cache à l'intérieur d'une application malveillante EasyDoc Converter qui est disponible sur des sites de téléchargement de logiciels Mac.

EasyDoc-ConverterPar glisser-déposer, l'application est censée convertir des documents au format .docx (Microsoft Word). Elle n'a en réalité aucune fonction si ce n'est de télécharger un script malveillant pour installer et enregistrer trois composants au démarrage d'OS X dans un répertoire /Users/$USER/Library/.dropbox. Un répertoire qui n'a rien à voir avec Dropbox.

Les trois composants sont un service Tor caché, un service Web (PHP) et un agent logiciel. Chaque système infecté a une adresse unique sur le réseau d'anonymisation Tor. Toutes les adresses sont stockées sur le site Pastebin en utilisant l'agent logiciel.

Pour un malware, la communication avec des serveurs de contrôle et commande à travers le réseau Tor permet de dissimuler les traces des attaquants et éviter un démantèlement de l'infrastructure utilisée.

Bitdefender indique que Eleanor ouvre une backdoor sur un système infecté et dispose ainsi d'un accès complet. Il est par exemple possible d'accéder au système de fichiers, à la webcam, de télécharger des indésirables. Du cyberespionnage et plus encore.

Cela semble terrible à ceci près que l'application EasyDoc Converter n'est pas signée numériquement avec un certificat publié par Apple. Par défaut, OS X n'ouvrira donc pas une telle application. Par contre, si l'utilisateur pris pour cible s'obstine et passe outre la protection, Apple ne pourra de fait pas révoquer un certificat pour se débarrasser de l'application.

Un peu plus tôt cette année, il avait été repéré le premier ransomware fonctionnel sur OS X avec KeRanger.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1909033
Il fallait s'en douter un peu. Je suis même surpris que la majorité des malwares n’utilisent pas encore TOR
Le #1909040
skynet a écrit :

Il fallait s'en douter un peu. Je suis même surpris que la majorité des malwares n’utilisent pas encore TOR


T'inquiète pas, ça vient, juste le temps de tout mettre en place et ils passeront à l'attaque

les canaillous
Le #1909052
DeepBlueOcean a écrit :

skynet a écrit :

Il fallait s'en douter un peu. Je suis même surpris que la majorité des malwares n’utilisent pas encore TOR


T'inquiète pas, ça vient, juste le temps de tout mettre en place et ils passeront à l'attaque

les canaillous


C'est étrange qu'ils n'y aient pas pensé avant
Le #1909056
skynet a écrit :

Il fallait s'en douter un peu. Je suis même surpris que la majorité des malwares n’utilisent pas encore TOR


+1, les hidden services sont vraiment adaptés pour ce genre d'usage...
La limite est sans doute au niveau du port utilisé pour se connecter au réseau Tor, pas franchement discret par rapport à un bon vieux 80 ou 443
Le #1909067
Rymix a écrit :

Mac c'est safe.


Mais le Père Noël est une ordure
Le #1909071
Ulysse2K a écrit :

Rymix a écrit :

Mac c'est safe.


Mais le Père Noël est une ordure


Vive le pere noel alors ! Et vive mac
Le #1909093
C'est marrant de voir comment est considéré le malware. En gros, on a l'impression que le malware c'est Tor en lisant l'article.

Le même malware qui se connecterait sur des serveurs hébergés dans les pays qui vont bien auraient également le même potentiel ...

Surtout que le malware n'utilise même pas une faille de l'OS mais une faille de l'utilisateur, volontairement, il a dégradé le niveau de sécurité de son OS.
Le #1909138
Pour arriver à faire ça il faut quand même
- l'avoir téléchargé (volontairement)
- l'avoir installé (volontairement)
- l'avoir lancé (volontairement)
- lui avoir donné son mot de passe administrateur (volontairement) !!
tout ça pour juste convertir un fichier word !

Le problème il est entre le clavier et la chaise !!
Anonyme
Le #1909159
Rymix a écrit :

Mac c'est safe.


T'aurais pu attendre demain pour la faire celle là !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]