Auteur Sujet: Nouveau malware contre les Mac  (Lu 1803 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Nouveau malware contre les Mac
« le: 05 mai 2017 à 04:53:46 »
Dok: un nouveau malware vise les Mac

CheckPoint signale un nouveau malware visant les utilisateurs européens de Mac. Baptisé Dok, celui-ci est diffusé via une campagne de phishing et cherche à intercepter le trafic échangé entre les utilisateurs et les sites web qu’ils consultent.

Nouvelle alerte pour les utilisateurs de Mac décidèment de plus en plus vulnérables aux attaques. Cette fois, c'est CheckPoint qui signale une campagne de phishing visant les utilisateurs des machines pommées. Celle-ci est utilisée pour diffuser Dok, un malware diffusé en pièce jointe par une vague d’emails malveillants.

Selon l'éditeur de logiciels de sécurité, ces e-mails visent principalement des utilisateurs européens et se font passer parfois pour un message de l’administration fiscale invitant les utilisateurs à télécharger et ouvrir le document .zip fourni en pièce jointe, généralement identifiée sous le nom de dokument.zip. Cette archive est d’ailleurs signée, afin de permettre à l’utilisateur de l’ouvrir, grâce à un certificat légitime et apparemment volé. Apple a annoncé que ce certificat avait depuis été révoqué.


Un exemple de mail de phishing envoyé pour diffuser le malware, ici relayé par Check Point.

Une fois l’archive ouverte, le malware va copier son contenu sur le disque avant d’afficher une pop-up à l’écran. Celle-ci informe l’utilisateur qu’une faille de sécurité a été détectée et que le téléchargement et l’installation d’une mise à jour est nécessaire pour rester protégé. Et en bonus, le malware en profite pour demander purement et simplement le mot de passe de l’utilisateur afin d’installer la fausse mise à jour, qui se révèle être en réalité la charge utile du logiciel malveillant. Impossible pour l’utilisateur d’échapper à la pop up, qui bloque l’accès au reste des applications de la machine.

Simple mais efficace

À partir de là, le malware a déjà gagné la partie: celui-ci va profiter de ses accès afin de s’assurer le contrôle total du système, en élevant les privilèges de l’utilisateur en cours au niveau le plus élevé. Puis il va télécharger plusieurs modules qui lui permettront de prendre la main sur le trafic de la cible, notamment via l’ajout d’un nouveau certificat root au sein de la machine.

Cette dernière étape lui permet de purement et simplement rediriger l’ensemble du trafic de la cible via un serveur de proxy et de mettre effectivement en place une attaque de type Man in the Middle, ce qui lui permettra de récupérer les informations entrées par l’utilisateur sur les différents services internet qu’il utilise.


La pop up affichée par le malware afin d'obtenir de l'utilisateur son mot de passe et les droits d'administration sur la machine.

Plusieurs antivirus permettent de se débarrasser du malware: bien évidemment ceux de Check Point, mais aussi ceux de Malwarebytes. Mais d’autres techniques permettent de se débarrasser de l’infection: comme l’explique Malwarebytes dans un post de blog concernant Dok, l’utilisateur peut ainsi supprimer les fichiers créés par le malware au sein du dossier LaunchAgents, nommés com.apple.Safari.pac.plis et com.apple.Safari.proxy.plist, ce qui évitera le lancement du logiciel indésirable à chaque redémarrage.

Les utilisateurs devraient également supprimer le certificat root ajouté par le malware afin de s’assurer que d’autres attaques ne profiteront pas de cette faille de sécurité pour s’attaquer à la machine.

Dok se présente sous la forme d’un trojan bien classique, qui repose principalement sur le social engineering et un certificat volé pour contourner les protections mises en place par Apple. Le certificat a maintenant été révoqué, ce qui devrait provoquer un avertissement à l’intention de l’utilisateur qui souhaiterait ouvrir le fichier malveillant sur sa machine. Mais les utilisateurs de Mac ne sont pas forcement habitués à ce type d’attaques et devraient rester sur leur garde.


Source: ZDNet.fr par  Louis Adam Mardi 02 Mai 2017.   ;)