[Mise à jour] Deux nouvelles menaces : OSX.Eleanor et OSX.Keydnap
Alors que l'univers de la sécurité sur Mac n'était plus que dans le viseur des Pourriciels Israëliens (Potentially Unwanted Application), deux nouvelles menaces se distinguent ces derniers jours : OSX.Eleanor et OSX.Keydnap, des Chevaux de Troie coquins qui aspirent à déposer une porte dérobée dans nos machines.
Disponible un temps sur MacUpdate, EasyDoc Converter ou OSX.Eleanor s'annonce comme un convertisseur de documents. Un script Shell embarqué dans une application Platytpus vérifie si le pare-feu applicatif Little Snitch est installé, puis dépose un shell PHP et des outils connus - Tor, Netcat, ou encore Wacaw pour prendre des photos de l'utilisateur.
Derrière ce nuage de fumée, OSX.Eleanor ouvre deux services sur le Dark Web (le shell PHP et une redirection vers le port SSH de la cible), puis envoie ses informations chiffrées sur Pastebin. Le fourre-tout malicieux fait son office et la victime n'a plus qu'à se soumettre à l'imagination de son assaillant.
Plus abouti, OSX.Keydnap utilise la ruse du faux document : un exécutable camouflé avec une icône en ressource "Classic" (resource fork icns), un vrai fichier embarqué ou téléchargé, et une extension familière (JPG, TXT) suivie d'une espace. A l'ouverture, le vrai fichier se substitue au leurre, puis la porte dérobée est téléchargée et exécutée.
La porte dérobée s'installe et communique des infos sur la cible à un serveur de contrôle sur le Dark Web. Pour échapper à un éventuel antivirus, elle est empaquetée avec une version modifiée d'UPX. Elle se camoufle en agent iCloud dans la liste des processus, et récupère des commandes et des scripts depuis le serveur de l'attaquant. Elle embarque la très efficace preuve de concept KeychainDump : elle a besoin de s'élever en privilège pour cannibaliser nos précieux identifiants.
Ces menaces ne sont pas signées avec un certificat développeur d'Apple : elles ne contournent pas Gatekeeper par elle-même.
OSX.Eleanor venant du web, la victime aurait dû explicitement l'autoriser, sauf que l'assistant d'installation de MacUpdate - le pourriciel d'installCore - supprime l'attribut de quarantaine, et l'utilisateur est maintenant infecté.
La conception d'OSX.Keydnap nous laisse deviner un autre mode de distribution, comme une clé USB perdue ou un peu d'ingénierie sociale. Cette fois-ci encore, plus d'attribut de quarantaine pour nous protéger !
Merci à notre ami de longue date Arnaud pour son expertise, et il convient donc de rester à l'affut des pourriciels et des malandrins.
[MàJ] Pour vérifier la présence d'OSX.Eleanor, en ligne de commande.
Si la commande,
$ netstat -an | grep LISTEN
affiche précisément ces lignes :
tcp4 0 0 127.0.0.1.9991 *.*LISTEN tcp4 0 0 127.0.0.1.9061 *.*LISTEN tcp4 0 0 127.0.0.1.9060 *.*LISTEN (...)
Ou si les LaunchAgents existent :
$ ls ~/Library/LaunchAgents/ com.getdropbox.dropbox.integritycheck.plist com.getdropbox.dropbox.timegrabber.plist com.getdropbox.dropbox.usercontent.plist
Ou si le dossier suivant existe :
$ ls ~/Library/.dropbox/ .rerocheck_hostname configdbddeamon.php ego.phppublic.key rulessyncutilities
NE PAS CONFONDRE avec ~/.dropbox qui est parfaitement légitime.
Pour vérifier la présence d'OSX.Keydnap, toujours en ligne de commande.
Le LaunchAgent :
$ find /Library/LaunchAgents ~/Library/LaunchAgents -name com.apple.iCloud.sync.daemon.plist
Et la porte dérobée :
$ ls ~/Library/"Application Support"/com.apple.iCloud.sync.daemon/icloudsyncd
Si rien n'est trouvé, c'est bon.