Un malware découvert sous macOS, Réactions à la publication du 18/01/2017

[Lionel]

Malwarebytes a annoncé avoir découvert ce qui serait le premier malware Mac de l'année 2017. Il a été baptisé OSX.Backdoor.Quimitchin en référence à un espion aztèque.

Le logiciel, qui a été découvert sur des machines appartenant à des chercheurs du monde biomédical, prend régulièrement des captures d'écrans, les envoie à l'extérieur, et tente d'accéder à la webcam.

La chose la plus intéressante est la manière dont il a été codé. Il fait appel à des bibliothèques et des appels système dépréciés depuis de longues années comme, SGSetChannelBounds, SGSetChannelUsage, SGSetDataProc, SGStartRecord, SGGetChannelSampleDescription...
Certains datent d'avant Mac OS X.

Cela lui permettrait, avec cette façon de fonctionner très spécifique, de retarder sa découverte par les systèmes de détection modernes.

On notera également qu'il semble pouvoir fonctionner en bonne partie sous Linux.

Pour finir, il semble en circulation depuis un moment, probablement depuis 2014. Si l'on ne l'a pas découvert plus vite, c'est qu'il n'a visiblement été exploité que rarement, et dans des cas très particuliers.

Lien vers le billet original

[Albook]

Aucune info pour vérifier si notre mac est infecté ? Et pour s'en débarrasser ?

[fcoull]

Aucune info pour vérifier si notre mac est infecté ? Et pour s'en débarrasser ?

Malwarebytes le detecte.

Sinon il suffit de virer ces 2 fichiers.

~/.client
~/Library/LaunchAgents/com.client.client.plist

[linus]

Génial, déjà que Apple a tendance a tuer tout ce qui prend un peu d'âge, on est parti pour ne plus pouvoir lancer toute application de plus de 1 an ? 6 mois ? 1 mois ? 1 jour ? une heure ? ... rayer la mention inutile !

[dijipi]

En faisant une recherche sur mon imac sous osx 1075, je trouve ces malwares, dans deux fichiers:
QuickTimeComponents.h
et QuickTimeComponents.k.h

De type BBEdit text document.
En lisant les informations pour le premier voici l'aperçu donné (pas copiable), par glissé-déposé cela donne :
/Applications/Data Rescue II/System/Library/Frameworks/QuickTime.framework/Versions/A/Headers/QuickTimeComponents.h

En ouvrant le premier document, et recherche :

/*
* SGSetDataProc()
*
* Availability:
* Mac OS X: in version 10.0 and later in QuickTime.framework
* CarbonLib: in CarbonLib 1.0 and later
* Non-Carbon CFM: in QuickTimeLib 2.5 and later
* Windows: in qtmlClient.lib 3.0 and later
*/
extern ComponentResult
SGSetDataProc(
SeqGrabComponent s,
SGDataUPP proc,
long refCon) AVAILABLE_MAC_OS_X_VERSION_10_0_AND_LATER;

C'est grave docteur ?

[ Joe]

En faisant une recherche sur mon imac sous osx 1075, je trouve ces malwares, dans deux fichiers:
QuickTimeComponents.h
et QuickTimeComponents.k.h

De type BBEdit text document.
En lisant les informations pour le premier voici l'aperçu donné (pas copiable), par glissé-déposé cela donne :
/Applications/Data Rescue II/System/Library/Frameworks/QuickTime.framework/Versions/A/Headers/QuickTimeComponents.h

En ouvrant le premier document, et recherche :

/*
* SGSetDataProc()
*
* Availability:
* Mac OS X: in version 10.0 and later in QuickTime.framework
* CarbonLib: in CarbonLib 1.0 and later
* Non-Carbon CFM: in QuickTimeLib 2.5 and later
* Windows: in qtmlClient.lib 3.0 and later
*/
extern ComponentResult
SGSetDataProc(
SeqGrabComponent s,
SGDataUPP proc,
long refCon) AVAILABLE_MAC_OS_X_VERSION_10_0_AND_LATER;

C'est grave docteur ?

Ce n'est pas le malware c'est juste un import de bibliothèque qui ont en signature les structures C misent en cause dans la faille.

[shawnscott]

Le logiciel qui a été découvert sur des machines appartenant à des chercheurs du monde biomédical, … tente d'accéder à la webcam.

J'ai occulté celle de mon iMac depuis belle lurette, vu que je ne l'utilise de toute façon pas.

[pb05]

Le logiciel qui a été découvert sur des machines appartenant à des chercheurs du monde biomédical, … tente d'accéder à la webcam.

J'ai occulté celle de mon iMac depuis belle lurette, vu que je ne l'utilise de toute façon pas.

De ma part j'utilise Micro Snitch pour surveiller cette activité.

[benlabete]

Et sur 10.6.8 quelqu'un a-t-il une soluce pour vérifier ? (malwarebytes ne fonctionne pas dessus)
Merci d'avance

[El Bacho]

L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly.

[Lionel]

L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly.

Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X

[El Bacho]

Hmmm... Je sais pas, moi, mais si j'apprends qu'il y a un malware en circulation, même archaïque et confidentiel, ça m'intéresse également de savoir si je suis protégé ou pas.

[raoulito]

L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly.

Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X

perso j'ai toujours un AV sur mes mac, mais pas le meme suivant leur destination:
> l'ordi portable, qui passe dans pas mal de mains à la maison et est susceptible d'etre branché dehors n'importe où est avec avast en permanence
> l'ordi de travail, sur le bureau, c'est Clamxav une fois par mois en scan total.
et donc Xprotect par défaut, mais comme j'en ignore l'efficacité réelle...

Ce message a été modifié par raoulito - 19 Jan 2017, 14:39.

[johnstone]

L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly.

Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X

perso j'ai toujours un AV sur mes mac, mais pas le meme suivant leur destination:
> l'ordi portable, qui passe dans pas mal de mains à la maison et est susceptible d'etre branché dehors n'importe où est avec avast en permanence
> l'ordi de travail, sur le bureau, c'est Clamxav une fois par mois en scan total.
et donc Xprotect par défaut, mais comme j'en ignore l'efficacité réelle...

Clamxav ne semble pas être trés efficace, pourquoi ne pas passer à Avast, Avira ou BitDefender?

Source

[raoulito]

L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly.

Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X

perso j'ai toujours un AV sur mes mac, mais pas le meme suivant leur destination:
> l'ordi portable, qui passe dans pas mal de mains à la maison et est susceptible d'etre branché dehors n'importe où est avec avast en permanence
> l'ordi de travail, sur le bureau, c'est Clamxav une fois par mois en scan total.
et donc Xprotect par défaut, mais comme j'en ignore l'efficacité réelle...

Clamxav ne semble pas être trés efficace, pourquoi ne pas passer à Avast, Avira ou BitDefender?

Source

mmmhmmm effectivmeent.. à réfléchir tiens...

[Macafond]

De ma part j'utilise Micro Snitch pour surveiller cette activité.

ou en gratuit "OverSight"

[FolasEnShort]

https://sourceforge.net/directory/os:mac/?q=malware

[Guest_Yoskiz_*]

Hello,

En utilisant LittleSnitch 3 cela peut être un bon moyen de détecter une connexion sortante non autorisée et donc de détecter ce malware.

[Rocou]

Attention, la mise à jour de Malwarebytes implique l'installation obligatoire d'un "utilitaire". Cette installation vous oblige à donner votre mot de passe utilisateur.
Auparavant on pouvait refuser d'installer "l'utilitaire' et le scan fonctionnait malgré tout. Après la mise à jour, c'est impossible.
Par conséquent, Malwarebytes part à la poubelle pour ma part.

[nicomo]

Et sur 10.6.8 quelqu'un a-t-il une soluce pour vérifier ? (malwarebytes ne fonctionne pas dessus)
Merci d'avance

https://forums.malwarebytes.com/topic/17782...-mac-os-x-1075/
https://data-cdn.mbamupdates.com/web/MBAM-Mac-1.0.2.8.dmg

ciao, n

Attention, la mise à jour de Malwarebytes implique l'installation obligatoire d'un "utilitaire". Cette installation vous oblige à donner votre mot de passe utilisateur.
Auparavant on pouvait refuser d'installer "l'utilitaire' et le scan fonctionnait malgré tout. Après la mise à jour, c'est impossible.
Par conséquent, Malwarebytes part à la poubelle pour ma part.

as-tu un autre anti-malware a conseiller?
Merci
ciao, n

[luc1en]

Attention, la mise à jour de Malwarebytes implique l'installation obligatoire d'un "utilitaire". Cette installation vous oblige à donner votre mot de passe utilisateur.
Auparavant on pouvait refuser d'installer "l'utilitaire' et le scan fonctionnait malgré tout. Après la mise à jour, c'est impossible.
Par conséquent, Malwarebytes part à la poubelle pour ma part.

Bonjour,

en quoi consiste cet utilitaire ? Que fait-il ? Il demande un mot de passe administrateur ou celui de l'utilisateur courant ?
Je viens de refuser la mise à jour, mais j'hésite à m'en séparer complètement.