Un autre troyen cible Mac OS X

Un autre cheval de Troie ciblant Mac OS X a été découvert par Intego. Selon le fournisseur de solutions de sécurité, pour Mac OS X justement, ce cheval de Troie aime à se diffuser via e-mail en tant que fichier zip. L'archive au nom trompeur PokerGame contient une application dans laquelle est encapsulé un script shell malicieux.

Une fois exécuté, le cheval de Troie baptisé PokerStealer demande à la victime son mot de passe administrateur en prétextant la détection d'un fichier de préférences corrompu et la nécessité de le réparer. Cela lui permet d'activer une connexion SSH afin d'établir une communication avec  un serveur distant. Une fois cette connexion établie, PokerStealer fait parvenir le nom d'utilisateur et le hash du mot de passe, ainsi que l'adresse IP de la machine infectée. Un pirate distant peut alors tenter de prendre le contrôle de la machine, effacer des fichiers ou accomplir d'autres actions nuisibles.

Intego a informé de l'existence de ce troyen le lendemain de l'annonce de son homologue SecureMac faisant état de la découverte de plusieurs variantes d'un troyen également capable d'offrir un contrôle d'accès à distance à un pirate. En l'occurrence, le cheval de Troie de SecureMac est lui distribué à travers le client de messagerie instantanée iChat et le client P2P LimeWire. Il exploite une vulnérabilité affectant ARD pour Apple Remote Desktop, un composant pour la prise de contrôle à distance. Comme dans le cas de PokerStealer, une interaction avec l'utilisateur est nécessaire mais pour pallier la vulnérabilité, il suffit simplement et presque ironiquement d'activer l'accès à distance depuis le panneau " Partage ".

De l'aveu même d'Intego, la menace incarnée par PokerStealer est faible. Reste que cela prouve une nouvelle fois l'intérêt de plus en plus manifeste que portent les cybercriminels aux utilisateurs Mac. Pour l'heure cependant, contrairement à l'environnement Windows pas de virus à déclarer, eux qui ont la faculté de se dupliquer sur d'autres ordinateurs. Pour être infecté, l'utilisateur Mac doit pour l'instant télécharger quelque chose et l'exécuter.