Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

[Mise à jour] 17000 Mac seraient infectés par un nouveau cheval de Troie

Par Lionel - Dimanche 05 octobre 2014, 07:36 - Catégorie : Mac OS X

Doctor Web annonce avoir découvert une nouvelle variante d'un cheval de Troie ciblant les machines sous OS X et baptisé Mac.BackDoor.iWorm. Il aurait déjà infecté au moins 17000 machines. Voici leur communiqué.

Strasbourg, le 1er octobre 2014 –En Septembre 2014, les spécialistes de Doctor Web ont analysé plusieurs nouvelles menaces ciblant Mac OS X. L'une d’entre elles est un backdoor multifonctions ajouté à la base virale sous le nom Mac.BackDoor.iWorm. A ce jour, les statistiques indiquent qu’un peu plus de 17 000 adresses IP uniques de Mac sont infectées par ce malware.
Les pirates ont utilisé les langues C++ et Lua, ainsi que la cryptographie. Lors de son installation, le Trojan se décompresse dans le dossier /Library/Application Support/JavaW, puis le dropper crée à la volée le fichier plist afin d'assurer le démarrage automatique du logiciel malveillant.
Au moment du premier démarrage, le Mac.BackDoor.iWorm sauvegarde ses données de configuration dans un fichier séparé et essaie de lire le contenu du dossier /Library pour obtenir la liste des applications installées avec lesquelles le backdoor n'interagira plus. S'il n'a pas réussi à trouver les répertoires « indésirables », le bot reçoit à l'aide de fonctions systèmes le nom du dossier personnel de l'utilisateur Mac OS X sous le nom duquel il a été lancé, y vérifie la présence de son fichier de configuration et y enregistre toutes les données nécessaires à son fonctionnement.
Puis Mac.BackDoor.iWorm ouvre sur l'ordinateur infecté un port et attend une connexion entrante, envoie une requête à une ressource Internet pour une liste d'adresses de serveurs de gestion, puis se connecte à ces serveur afin de recevoir les commandes.
Il est à noter qu'afin de recevoir la liste d'adresses des serveurs de gestion, le bot se réfère au service de recherche reddit.com, en indiquant comme requête les valeurs hexadécimales des 8 premiers octets du hachage MD5 de la date actuelle. Selon les résultats de la recherche, reddit.com donne une page web avec la liste des serveurs de gestion de botnets et les ports que les pirates publient sous la forme de commentaires pour le sujet « minecraftserverlists » au nom d'utilisateur « vtnhiaovyd »: le Trojan essaie d'établir la connexion avec les serveurs de gestion en recherchant d'une manière aléatoire les 29 premières adresses de la liste reçue et envoie des requêtes à chacun d'eux. Il répète toues les 5 minutes les requêtes au site reddit.com afin de recevoir une nouvelle liste.
Lors de l'établissement de la connexion avec un serveur de gestion dont l'adresse est sélectionnée dans la liste à l'aide d’un algorithme spécial, le Trojan tente de déterminer si cette adresse est ajoutée à la liste d'exclusions, et partage avec le serveur un ensemble de données grâce auxquelles l'authenticité de l'hôte distant est vérifiée en utilisant une série de transformations mathématiques. Si la vérification est réussie, le bot envoie au serveur distant le numéro du port ouvert sur l'ordinateur infecté et son identifiant unique et attend les commandes.

Mac.BackDoor.iWorm est capable d'exécuter diverses directives selon les données binaires entrantes ou Lua-scripts. les commandes de base du backdoor pour les Lua-scripts afin d'effectuer les opération suivantes:

  • obtenir le type de système d'exploitation ;
  • obtenir la version du bot ;
  • obtenir l’UID du bot ;
  • obtenir la valeur du paramètre du fichier de configuration ;
  • indiquer la valeur du paramètre du fichier de configuration ;
  • effacer les données de configuration de tous les paramètres ;
  • obtenir la durée d’activité du bot (uptime) ;
  • envoyer une requête GET ;
  • télécharger un fichier ;
  • ouvrir le socket pour la connexion entrante et exécuter la commande reçue ;
  • exécuter la commande système ;
  • faire une pause (sleep) ;
  • ajouter le nœud selon l’IP dans la liste des nœuds " interdits " ;
  • effacer la liste des nœuds " interdits " ;
  • obtenir la liste de nœuds ;
  • obtenir l'adresse IP du nœud ;
  • obtenir le type de nœud ;
  • obtenir le port du nœud ;
  • exécuter le script Lua imbriqué. 

Il est fort probable qu'Apple mettra à jour son système anti cheval de Troie (assez simple) pour bloquer cette infection. 

[MàJ] Apple a mis à jour son système Xprotect pour bloquer cette variante de Cheval de Troie.

Sondage

Comptez-vous acheter un Vision Pro ?