En début d'année, Doctor Web avait découvert un cheval de Troie baptisé Ekoms et ciblant les systèmes Linux. Renommé Mokes par Kaspersky Lab et d'autres, l'analyse de cette bestiole dotée de capacités d'espionnage a permis de mettre au jour une variante pour Windows. Le panorama est désormais complet avec une variante pour OS X.

Autrement qualifié de backdoor, et du moins un cheval de Troie de type backdoor, Mokes a été écrit en C++ en utilisant le framework multi-plateforme Qt et embarque des composants spécifiques. Une version Mac n'est donc pas totalement surprenante mais elle s'avère la plus nuisible des trois.

Comme ses congénères, Mokes pour OS X est notamment capable de prendre des captures d'écran toutes les 30 secondes. Il peut aussi surveiller des périphériques USB, détecter la présence de fichiers Office. Kaspersky Lab évoque la possibilité d'exécuter des commandes arbitraires sur la machine infectée depuis un serveur de contrôle et commande.

Une connexion est d'abord établie via HTTP sur le port TCP 80. Elle a ensuite lieu via le port 443 en utilisant le chiffrement AES-256. Si la variante Linux se copiait elle-même dans deux dossiers en rapport avec Firefox et Dropbox, ce sont des dossiers appartenant en plus à l'App Store, Dock, Skype et Google Chrome pour la variante Mac.

Mokes-OSX

Pour le moment, Kaspersky Lab n'indique pas - comme souvent - que Mokes est un outil sophistiqué développé par un groupe avec le soutien d'un État. Cela viendra peut-être plus tard…Tant qu'aucun malware n'a été téléchargé par son entremise, la suppression des fichiers binaires suffit pour la désinfection.

Le vecteur d'attaque pour Mokes demeure un mystère. Cet été, Bitdefender avait donné l'alerte au sujet d'un malware Eleanor ouvrant une backdoor sur OS X. Il était dissimulé dans une application EasyDoc Converter disponible sur des sites de téléchargement de logiciels Mac mais non signée numériquement par Apple.