OSX.Flashback pour les nuls : Mac infections

Un billet en mode revue de presse concernant l’infection Flashback qui a fait couler pas mal d’encre ces dernières semaines.

Le malware a vu le jour courant septembre 2011, ce dernier se présentait sous forme de mise à jour Flash ou de pluggin Flash (Potentiellement sous forme de faux Codec. )
Ce concept d’attaque par social engineering étant très répandu sous Windows et ayant vu le jour courant 2006 : http://forum.malekal.com/faux-codec-zlob-videoaccess-trojan-win32-dnschanger-t878.html   Mi-Octobre : Une nouvelle variante FlashBack-B arrive, celle-ci empêche notamment de tourner sur des machines virtuelles afin de prévenir de toute étude : http://www.f-secure.com/weblog/archives/00002251.html
Quelques jours après une variante FlashBack-C sort, cette variante désactive XProtect – l’anti-malware embarqué sur MacOSX.
Ces deux nouvelles variantes demandent le mot de passe administrateur au lancement, si ce dernier n’est pas donné, le malware tente d’injecter des processus qui ont des droits administrateurs.

Courant Février 2012, une accélération de variantes jusqu’à FlashBack-G voit le jour mais aussi une modification des méthodes de propagation.
Le malware se propage maintenant par des exploits sur site WEB et notamment par une vulnérabilité JAVA (oui encore lui).
La vulnérabilité CVE-2012-0507 a été publiée mi-Février – Apple sortira un patch 2 mois plus tard et 1 mois après les premières exploitations de la vulnérabilité par FlashBack.

Un système avec Java non à jour voit son MacOS infecté par le simple visite d’un site WEB et le chargement d’une applet Java malicieux.
L’installation du malware ne requiert plus de mot de passe et est transparente pour l’utilisateur. => http://www.intego.com/mac-security-blog/new-flashback-trojan-horse-variant-uses-novel-delivery-method-to-infect-macs/

Des campagnes de mails sont aussi envoyées qui tirent parti d’une vulnérabilité sur Word (CVE-2009-0565): http://blog.trendmicro.com/osx_flashbck-a-backlash-to-apples-popularity/

Là encore la simple ouverture du document permet l’infection automatique.

Ces nouvelles méthodes de propagation voient le nombre de Mac infecté exploser.
On atteint début Avril les 600k Macs infecté soit 1% du parc – ci-dessous une carte des pays touchés (source Kaspersky).   Les éditeurs de sécurité commencent à s’occuper du problème et des news journalières sont publiées. Des fix sont mis à disposition :

Le nombre de PC infecté diminue assez rapidement : http://www.symantec.com/connect/blogs/flashback-cleanup-still-underway-approximately-140000-infections

Vers une professionnalisation…

Un petit retour en arrière sur le monde des malwares chez Mac :

Ce n’est donc pas la première infection, cependant ce FlashBack est doublement interressant car c’est la première véritable infection de type Backdoor professionnelle comme il existe dans le monde Windows. On voit que toutes les ficelles qui font recettes dans le monde Windows ont été utilisées faux Codec puis exploits sur site WEB et ceci dans un court laps de temps. Ceci a permis, au final, une forte propagation de l’infection.

Jusqu’ici les internautes se sentaient à l’abri et quand des news sur d’éventuelles infections sortaient, c’était l’industrie antivirus qui s’alarmaient, pour au final, faire vendre des antivirus.
Mac reste encore pour beaucoup un paradis excempt de virus, les choses commencent à changer tout simplement car Mac offre un potentiel de machines à infecter (environ 6% des parts de marchés).
La prochaine étape est très certainement le portage d’exploitkit comme BlackHole sur Mac, ce qui permettrait à la visite d’un site, d’infecter les deux OS : Windows et Mac.

On voit bien que la part de marchés est importante et pour faire taire les trolls, l’OS ne fait pas tout.

Les utilisateurs de Mac vont devoir s’interresser à la sécurité, cela ne veux pas dire qu’il faut impérativement installer un antivirus (ce qui a terme sera éventuellement conseillé pour les débutants), mais au moins connaître les bases :

  •  surfer en étant vigilent notamment lors des popups d’installation ou mails.
  • maintenir ses logiciels à jour, plus particulièrement les plugins WEB comme Java.

Ceci est bien évoqué sur cet article : http://www.linformaticien.com/actualites/id/24530/trojan-sur-mac-flashback-est-il-un-reel-danger-en-france.aspx

EDIT

Trend-Micro vient de poster un billet interressant qui rejoint le paragraphe ci-dessus : http://blog.trendmicro.com/?p=41585

 EDIT  : Quelques autres billets par Kaspersky

Kaspersky donne ce tableau avec les dates de publications des vulnérabilités Java et les dates des mises à jour publiées par Apple, soit en général, 1 à 2 mois :

    • CVE2008-5353 : 14 April 2009  – 15 June 2009
    • CVE2011-3544 : 18 October 2011 – 8 November 2011
    • CVE2012-0507 : 14 February 2012 – 03-12 April 2012

EDIT Début MAI 2012

EDIT 8 MAI 2012

Une dissection technique du malware par Symantec : http://www.symantec.com/connect/blogs/osxflashbackk-overview-and-its-inner-workings

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 47 times, 1 visits today)

6 thoughts on “OSX.Flashback pour les nuls : Mac infections

  1. Bon après c’est vrai que ça ce propage pas vraiment, OSX.Loosemaque est en fait le « nom de code » d’un jeu appellé Lose/Lose, remarqué par Symantec en 2009,qui efface des fichiers quand on tue des ennemis.

    Même si c’est pas un virus/malware au sens propre du terme, et que l’auteur signale lui-même que ça efface des fichiers, c’est quand même destructeur et je pense qu’il pourrait être noté dans une éventuelle liste de virus pour Mac.

    Linux non plus n’est pas exempt de virus… même si la plupart sont rendu inopérants par des updates, il faudrait peut-être signaler qu’ils existent et qu’il ne faut pas se croire protégé juste parce qu’on a un Mac ou Linux.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *