Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

Un nouveau Malware découvert sous macOS

Checkpoint a découvert et documenté un nouveau malware touchant spécifiquement macOS.

Baptisé OSX/Dok, il démarre son infection de manière assez classique en téléchargeant (via une pièce jointe) et en ouvrant un pseudo fichier .zip.
Doté d'une signature valide (d'un développeur enregistré), il ne déclenchera pas d'alerte GateKeeper lors de son exécution et va installer un process appelé Appstore (quitte à écraser un autre légitime du même nom) qui se relancera à chaque démarrage.

Il finira par afficher un message d'erreur qui fera croire que rien ne s'est passé.

Ce n'est pourtant que la première partie de l'attaque.

Dans un second temps, le process lancé affichera une fenêtre persistante demandant de réaliser une mise à jour OS X. Cette fenêtre bloquera alors tout autre accès à la machine, forçant ainsi l'utilisateur à réaliser cette (fausse) mise à jour.
C'est cette dernière qui contient la seconde partie, la plus virulente et qui une fois le mot de passe administrateur rentré va commencer par installer une routine permettant ensuite d'installer d'autres paquets sans demander le mot de passe.
Il va ensuite mettre en place un système de proxy sur la machine.

Ce proxy va permettre à ceux qui ont lancé l'attaque de détourner tout le trafic internet, en particulier celui protégé par une connexion https et du SSL (via un nouveau certificat installé aussi) qui pourront ainsi être écoutés à distance.
Ce sont donc toutes les communications que l'on veut le plus protéger (comme des accès bancaires) qui seront accessibles aux pirates.

Comme nous le disions plus haut, les sécurités de macOS et les antivirus sont actuellement incapables de détecter cette attaque.
Cette attaque semble actuellement cibler les utilisateurs situés en Europe et les alertes sont "proposées" en anglais et en allemand.


Sondage

Envisageriez-vous d'acheter un ordinateur non Apple ?