Un autre troyen cible Mac OS X

Le par  |  4 commentaire(s)
PokerGame_Intego

Sous les traits d'un prétendu jeu de poker, un cheval de Troie veut faire des misères aux utilisateurs Mac.

PokerGame_IntegoUn autre cheval de Troie ciblant Mac OS X a été découvert par Intego. Selon le fournisseur de solutions de sécurité, pour Mac OS X justement, ce cheval de Troie aime à se diffuser via e-mail en tant que fichier zip. L'archive au nom trompeur PokerGame contient une application dans laquelle est encapsulé un script shell malicieux.

Une fois exécuté, le cheval de Troie baptisé PokerStealer demande à la victime son mot de passe administrateur en prétextant la détection d'un fichier de préférences corrompu et la nécessité de le réparer. Cela lui permet d'activer une connexion SSH afin d'établir une communication avec  un serveur distant. Une fois cette connexion établie, PokerStealer fait parvenir le nom d'utilisateur et le hash du mot de passe, ainsi que l'adresse IP de la machine infectée. Un pirate distant peut alors tenter de prendre le contrôle de la machine, effacer des fichiers ou accomplir d'autres actions nuisibles.

Logo IntegoIntego a informé de l'existence de ce troyen le lendemain de l'annonce de son homologue SecureMac faisant état de la découverte de plusieurs variantes d'un troyen également capable d'offrir un contrôle d'accès à distance à un pirate. En l'occurrence, le cheval de Troie de SecureMac est lui distribué à travers le client de messagerie instantanée iChat et le client P2P LimeWire. Il exploite une vulnérabilité affectant ARD pour Apple Remote Desktop, un composant pour la prise de contrôle à distance. Comme dans le cas de PokerStealer, une interaction avec l'utilisateur est nécessaire mais pour pallier la vulnérabilité, il suffit simplement et presque ironiquement d'activer l'accès à distance depuis le panneau " Partage ".

De l'aveu même d'Intego, la menace incarnée par PokerStealer est faible. Reste que cela prouve une nouvelle fois l'intérêt de plus en plus manifeste que portent les cybercriminels aux utilisateurs Mac. Pour l'heure cependant, contrairement à l'environnement Windows pas de virus à déclarer, eux qui ont la faculté de se dupliquer sur d'autres ordinateurs. Pour être infecté, l'utilisateur Mac doit pour l'instant télécharger quelque chose et l'exécuter.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #262761
On dira ce qu'on voudra, c'est quand même bien tranquille de surfer sur Mac
Le #262801
On ne cessera de le répéter, ne jamais ouvrir un Mél dont le destinataire est inconnu et encore d'essayer d'ouvrir la pièce jointe. Sans parler du fait qu'il faut aussi rentré son mot de passe. Mais même s'il savent que 99,98 % des gens seront méfiant, il y en aura toujours quelqu'uns qui tomberont dans le piège. Une formation - sous forme de brochure par exemple - de l'utilisateur lambda devrait accompagner les ventes d'ordinateurs ou de système d'exploitation.
Le #262891
"que 99,98 % des gens seront méfiant"

Non non là tu te trompes...
Le #262941
Puis avec tout le bourrage de mou orchestré par cuppertino, relayé par des extrémistes tel LVM ...
->http://www.apple.com/fr/getamac/faq/

Va expliquer a un récent switcher que les badwares silencieux, les botnets, les "effaceurs de mp3", les crypteurs de fichiers, les logiciels sponsorisés, les keyloggers sont des réalités... tout ceci tourne sans privilèges, juste en exploitant la crédulité des gens.

Le tableau est bien gris, avec une pincée de rootkit à base de ARDAgent (toujours pas dans les updates d'ailleurs) et on se retrouve avec un Windows ou un linux saveur vmsplice()

Contrairement à LVM, qui va surement se faire péter avec sa ceinture en trognon de pomme sur ce fil de commentaire, j'ai passé une demi journée à vérifier l'intégrité de mon parc de mac. Que mes collègues mettent la zone sur leur profil n'est pas un problème 'majeur'... le problème majeur c'est quand le bousin s'exécute avec le setuid(0)

Note: en fait j'aime bien LVM, il représente a lui seul tous les aprioris que j'avais en prenant mon poste et qu'ont mes contacts commerciaux. Du coup je passe pour un "maqueux" ouvert
Note2: j'ai pas passé de temps sur les faiblesses de ruby ( toujours pas corrigé non plus ) car pas utilisé en interne.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]