Intego, un éditeur de logiciels de sécurité pour Mac OS X, vient de publier un bulletin d'alerte critique annonçant la découverte d'un Troyen (cheval de Troie) ciblant le système d'exploitation d'Apple, une annonce qui n'est pas la bienvenue quelques jours après la sortie l'OS X Leopard.
Selon Intego, ce Troyen se télécharge lorsque l'utilisateur se connecte sur certains sites pornographiques et veut visualiser certaines vidéos. Il propose d'installer un codec vidéo sur l'ordinateur, un convertisseur soi-disant indispensable pour visualiser les vidéos avec QuickTime.
Selon Intego, ce Troyen se télécharge lorsque l'utilisateur se connecte sur certains sites pornographiques et veut visualiser certaines vidéos. Il propose d'installer un codec vidéo sur l'ordinateur, un convertisseur soi-disant indispensable pour visualiser les vidéos avec QuickTime.
La méthode est connue mais le piège est efficace, d'autant plus qu'une campagne de spam a été organisée sur plusieurs forums Mac afin de promouvoir ces sites que la morale réprouve.
Comme on le voit sur le dump écran présenté ci-dessus, si l'utilisateur clique sur lien affiché, le système va télécharger une image disque (ultracodec1237.dmg) sur l'ordinateur. Après montage et installation du logiciel qui demande le mot de passe administrateur, comme par miracle, le codec se transforme en Troyen, identifié sous le nom de OSX.RSPlug.A.
Ce Troyen très élaboré utilise la commande scutil pour modifier les paramètres DNS de la machine. Grâce à ceux-ci, les informations seront détournées afin que l'utilisateur se connecte vers des sites de phishing qui usurpent les pages de eBay ou PayPal par exemple ou vers des bannières de publicité pour l'un ou l'autre site pornographique. Enfin, le Troyen installe un script activé par le crontab (scheduler) de root qui s'assurera toutes les minutes que les paramètres DNS sont bien conformes à ses souhaits !
Intego précise que sous l'ancien GUI de Mac OS X 10.4 Tiger, il n'y avait aucun moyen d'observer les changements opérés par le Troyen dans les paramètres DNS. En revanche, avec Mac OS X 10.5 Leopard, les serveurs DNS ajoutés apparaissent grisés mais ne peuvent être supprimés manuellement. Seule solution pour y remédier, installez le dernier patch de votre anti-virus favori, par exemple la solution VirusBarrier X4 d'Intego.
Le vrai danger est à venir
Les experts de McAfee ont déjà découvert ce Troyen pour Mac sur 65 sites webs. Le danger potentiel n'est pas encore bien cerné car pour le moment la malveillance du Troyen n'est pas élevée. Selon McAfee, "si je devais vraiment ennuyer les gens, je créerais bien plus de fausses entrées DNS".
Les experts pensent que ce Troyen n'est qu'un avant goût des attaques que vont essuyer les utilisateurs d'Apple au cours des deux prochaines années. Les pirates informatiques disposent d'assez d'iMac aujourd'hui pour conduire leurs méfaits, sans parler des millions d'iPhone et d'iPod (rappelez-vous de la vulnérabilité découverte dans l'iPhone en juillet 2007).
En outre, pour les pirates c'est un nouveau défi que de s'attaquer au système d'exploitation Mac, dans lequel ils trouveront certainement des vulnérabilités du fait que l'Apple n'a pas encore fait très attention aux trous de sécurité présents dans l'OS X.
Avec dix ans de repos et n'avoir essuyé que des virus "proof-of-concept" inoffensifs, Apple va peut-être connaître les mêmes problèmes qu'expérimenta Microsoft lorsque les PC se sont connectés pour la première fois à Internet. La saison Mac est ouverte...
Morale de l'histoire, ne croyez pas tout ce que vous lisez sur Internet et ne téléchargez pas tout ce que vous proposent les sites non sécurisés !
Morale de l'histoire, ne croyez pas tout ce que vous lisez sur Internet et ne téléchargez pas tout ce que vous proposent les sites non sécurisés !
Pour plus d'information sur les virus et autre Troyens, consultez l'article sur la cybercriminalité.
Aucun commentaire :
Enregistrer un commentaire