OSX.Flashback pour les nuls : Mac infections

Un billet en mode revue de presse concernant l’infection Flashback qui a fait couler pas mal d’encre ces dernières semaines.

Le malware a vu le jour courant septembre 2011, ce dernier se présentait sous forme de mise à jour Flash ou de pluggin Flash (Potentiellement sous forme de faux Codec. )
Ce concept d’attaque par social engineering étant très répandu sous Windows et ayant vu le jour courant 2006 : https://forum.malekal.com/faux-codec-zlob-videoaccess-trojan-win32-dnschanger-t878.html   Mi-Octobre : Une nouvelle variante FlashBack-B arrive, celle-ci empêche notamment de tourner sur des machines virtuelles afin de prévenir de toute étude : http://www.f-secure.com/weblog/archives/00002251.html
Quelques jours après une variante FlashBack-C sort, cette variante désactive XProtect – l’anti-malware embarqué sur MacOSX.
Ces deux nouvelles variantes demandent le mot de passe administrateur au lancement, si ce dernier n’est pas donné, le malware tente d’injecter des processus qui ont des droits administrateurs.

Courant Février 2012, une accélération de variantes jusqu’à FlashBack-G voit le jour mais aussi une modification des méthodes de propagation.
Le malware se propage maintenant par des exploits sur site WEB et notamment par une vulnérabilité JAVA (oui encore lui).
La vulnérabilité CVE-2012-0507 a été publiée mi-Février – Apple sortira un patch 2 mois plus tard et 1 mois après les premières exploitations de la vulnérabilité par FlashBack.

Un système avec Java non à jour voit son MacOS infecté par le simple visite d’un site WEB et le chargement d’une applet Java malicieux.
L’installation du malware ne requiert plus de mot de passe et est transparente pour l’utilisateur. => http://www.intego.com/mac-security-blog/new-flashback-trojan-horse-variant-uses-novel-delivery-method-to-infect-macs/

Des campagnes de mails sont aussi envoyées qui tirent parti d’une vulnérabilité sur Word (CVE-2009-0565): http://blog.trendmicro.com/osx_flashbck-a-backlash-to-apples-popularity/

Là encore la simple ouverture du document permet l’infection automatique.

Ces nouvelles méthodes de propagation voient le nombre de Mac infecté exploser.
On atteint début Avril les 600k Macs infecté soit 1% du parc – ci-dessous une carte des pays touchés (source Kaspersky).   Les éditeurs de sécurité commencent à s’occuper du problème et des news journalières sont publiées. Des fix sont mis à disposition :

Le nombre de PC infecté diminue assez rapidement : http://www.symantec.com/connect/blogs/flashback-cleanup-still-underway-approximately-140000-infections

Vers une professionnalisation…

Un petit retour en arrière sur le monde des malwares chez Mac :

Ce n’est donc pas la première infection, cependant ce FlashBack est doublement interressant car c’est la première véritable infection de type Backdoor professionnelle comme il existe dans le monde Windows. On voit que toutes les ficelles qui font recettes dans le monde Windows ont été utilisées faux Codec puis exploits sur site WEB et ceci dans un court laps de temps. Ceci a permis, au final, une forte propagation de l’infection.

Jusqu’ici les internautes se sentaient à l’abri et quand des news sur d’éventuelles infections sortaient, c’était l’industrie antivirus qui s’alarmaient, pour au final, faire vendre des antivirus.
Mac reste encore pour beaucoup un paradis excempt de virus, les choses commencent à changer tout simplement car Mac offre un potentiel de machines à infecter (environ 6% des parts de marchés).
La prochaine étape est très certainement le portage d’exploitkit comme BlackHole sur Mac, ce qui permettrait à la visite d’un site, d’infecter les deux OS : Windows et Mac.

On voit bien que la part de marchés est importante et pour faire taire les trolls, l’OS ne fait pas tout.

Les utilisateurs de Mac vont devoir s’interresser à la sécurité, cela ne veux pas dire qu’il faut impérativement installer un antivirus (ce qui a terme sera éventuellement conseillé pour les débutants), mais au moins connaître les bases :

  •  surfer en étant vigilent notamment lors des popups d’installation ou mails.
  • maintenir ses logiciels à jour, plus particulièrement les plugins WEB comme Java.

Ceci est bien évoqué sur cet article : http://www.linformaticien.com/actualites/id/24530/trojan-sur-mac-flashback-est-il-un-reel-danger-en-france.aspx

EDIT

Trend-Micro vient de poster un billet interressant qui rejoint le paragraphe ci-dessus : http://blog.trendmicro.com/?p=41585

 EDIT  : Quelques autres billets par Kaspersky

Kaspersky donne ce tableau avec les dates de publications des vulnérabilités Java et les dates des mises à jour publiées par Apple, soit en général, 1 à 2 mois :

    • CVE2008-5353 : 14 April 2009  – 15 June 2009
    • CVE2011-3544 : 18 October 2011 – 8 November 2011
    • CVE2012-0507 : 14 February 2012 – 03-12 April 2012

EDIT Début MAI 2012

EDIT 8 MAI 2012

Une dissection technique du malware par Symantec : http://www.symantec.com/connect/blogs/osxflashbackk-overview-and-its-inner-workings

(Visité 165 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet