Et oui… il y a aussi des botnets d'ordinateurs Mac. On se souvient par exemple du malware Flashback (Apple avait dû proposer une mise à jour pour se protéger) qui avait permis la création d'un réseau d'ordinateurs Mac infectés comptant jusqu'à plus d'un demi-million de machines en 2012.

C'est encore une fois Doctor Web qui donne l'alerte au sujet d'un nouveau botnet ciblant OS X. À croire que cela devient une spécialité pour l'éditeur russe de solutions de sécurité. Ce botnet compterait sous son contrôle un peu plus de 17 000 ordinateurs Mac infectés par ce qui a été baptisé Mac.BackDoor.iWorm.

Le pays le plus touché est les États-Unis, puis dans une moindre mesure le Canada et le Royaume-Uni. Pour la France, ce sont moins de 700 adresses IP associées au botnet qui ont été repérées. Être dans les rangs d'un botnet expose au risque d'un vol d'informations, le téléchargement de divers nuisibles, une participation insidieuse à des campagnes de spam ou des attaques DDoS.

Dr-Web-iWorm-carte
Doctor Web ne dit pas comment Mac.BackDoor.iWorm se répand mais précise que lors de son installation, il se décompresse dans le dossier /Library/Application Support/JavaW, s'enregistre pour un démarrage automatique en se faisant passer pour une application com.JavaW.

Un point intéressant est que le bot obtient les adresses d'un serveur de commande et contrôle depuis une publication sur le site Reddit. Mac.Backdoor.iWorm s'appuie ainsi sur le moteur de recherche du célèbre forum et une requête hexadécimale pour obtenir une liste de serveurs valides. En l'occurrence, il s'agit d'un sous-forum minecraftserverlists par un compte utilisateur vtnhiaovyd.

Dr-Web-iWorm-Reddit
Reddit n'est ici pas en cause et le malware pourrait tout aussi bien s'appuyer sur un autre service en tant que plateforme de communication.

C'est un rappel que les ordinateurs Mac ne sont pas immunisés contre les infections et que les utilisateurs doivent aussi faire preuve de vigilance. Un système d'exploitation à jour ainsi que des composants comme Java ou Flash, voire l'installation d'un anti-virus tiers.