Un nouveau Malware découvert sous macOS, Réactions à la publication du 29/04/2017

[Lionel]

Checkpoint a découvert et documenté un nouveau malware touchant spécifiquement macOS.

Il finira par afficher un message d'erreur qui fera croire que rien ne s'est passé.

Ce n'est pourtant que la première partie de l'attaque.

Comme nous le disions plus haut, les sécurités de macOS et les antivirus sont actuellement incapables de détecter cette attaque.
Cette attaque semble actuellement cibler les utilisateurs situés en Europe et les alertes sont "proposées" en anglais et en allemand.

Lien vers le billet original

[downanotch]

Doté d'une signature valide (d'un développeur enregistré), il ne déclenchera pas d'alerte GateKeeper lors de son exécution

Il semble s'agir d'une application camouflée en fichier .zip donc en principe il devrait y avoir une alerte même si la signature est valide.

EDIT : c'est bien le cas comme indiqué ici : https://blog.malwarebytes.com/threat-analys...pts-web-traffic

Le blog précise également que le certificat du dévelopeur a été révoqué par Apple.

Ce message a été modifié par downanotch - 29 Apr 2017, 07:13.

[Lionel]

Doté d'une signature valide (d'un développeur enregistré), il ne déclenchera pas d'alerte GateKeeper lors de son exécution

Il semble s'agir d'une application camouflée en fichier .zip donc en principe il devrait y avoir une alerte même si la signature est valide.

EDIT : c'est bien le cas comme indiqué ici : https://blog.malwarebytes.com/threat-analys...pts-web-traffic

Le blog précise également que le certificat du dévelopeur a été révoqué par Apple.

C'est le principe du phishing, te faire réaliser une chose que tu ne ferais pas si tu en connaissais les conséquences. Tous les jours ou presque j'accepte de lancer un logiciel qui a été téléchargé, ou ça me le refait si j'ai effacé certains caches système.
Pour le certificat, ils en utiliseront un autre la prochaine fois. Je rappelle que pour en avoir un il suffit de prendre un compte développeur chez Apple ce qui coûte quoi, 99 euros ? Ils seront certainement tirés des précédents méfaits d'ailleurs.


Il ne faut surtout pas minimiser ce qui est ici présenté. On l'aura de plus en plus souvent et comme les Mac Users ne sont pas éduqués à être parano, il faut le leur expliquer en long et en large.
Si tu veux, ne regarde pas ça comme une défaite, mais comme un succès pour Apple. Le Mac n'est plus considéré comme quantité négligeable pour les voleurs.

[fabounio]

Bon, si le certificat est révoqué, on aura droit a l'alerte habituelle comme quoi la source n'est pas sure..
Ceci dit, cela fait bien de temps en temps de vérifier que partie proxy du navigateur ou de MacOs n'est pas configurée a notre insu.

Mater aussi les dossiers Launchdaemons, LaunchAgents, StartupItems dans /Library et dans votre compta., des fois on y trouve des mouchards, comme ceux de Google nous refile des qu'on installe chrome ou Google Earth et qui permettent d'envoyer des stats de ce qu'on fait sur l'ordi... a Google, au passage ça fait ramer certains mac.

Mais curieusement les mouchards de google, c'est pas considéré comme un malware..

Ce message a été modifié par fabounio - 29 Apr 2017, 07:27.

[M_Marc]

Pas trop mal le concept d aller créer un proxy pour détourner toutes les communication vers un serveur "de capture de mot de passe". J'imagine que les protection des banques avec des système a deux clef (une générée par l utilisateur (mot de pass) puis une par le système (carte a code, sms)) doivent limiter les risque de ce faire vider son compte?

Sinon que dire de l'accès à un site de banque, l'utilisateur ne verrait rien de different lors de son accès?

Le fait d'enlever l'adresse du proxy automatique rend elle l'attaque caduque (ou bien il y a un script qui vérifie qu'elle est active et la remet + au redémarrage)?

Ce message a été modifié par M_Marc - 29 Apr 2017, 07:28.

[Ahiqar]

J'ai subi une tentative de fraude à la carte bancaire.

J'ai reçu un SMS de ma banque avec un code pour authentifier un achat de 10 GBP le 26 avril 2017 sur le site Family Action.
Ne connaissant pas ce site j'ai appelé mon conseiller bancaire sur un numéro de téléphone dédié qui m'a de suite bloquer cette carte visa.
Inconvénient, 10 jours d'attente pour la nouvelle carte + code

Cet incident n'a rien avoir avec le Malware mais montre bien que les sécurités bancaires sont utiles.

[fabounio]

Sinon que dire de l'accès à un site de banque, l'utilisateur ne verrait rien de different lors de son accès?
Le fait d'enlever l'adresse du proxy automatique rend elle l'attaque caduque (ou bien il y a un script qui vérifie qu'elle est active et la remet + au redémarrage)?

Pour le site de banque, aucune différence car le proxy étant sur le mac, la connexion s'effectue a la banque depuis le proxy, et donc depuis la meme ip source que le mac.
Ceci dit, si la banque, (comme la mienne) propose de saisir le code a coups de clics de souris sur des cases qui changent de position a chaque fois, je doute que le proxy puisse capturer le code, qui n'est pas saisi au clavier. mais je peux me tromper. de plus la connexion étant normalement chiffrée en ssl (https) elle est censée passer en chiffré a travers le proxy. je me trompe ?
pour ce qui est de remettre le proxy automatiquement, il se peut bien sur qu'il y ait un script dans starupItems ou launchAgents qui reconfigure tout cela au prochain démarrage, voire une tache planifiée.

En tout cas, le coup du proxy, on a déjà vu ça sur Windows depuis longtemps.

[brenda]

Mon ancienne banque personnelle a déjà :
- envoyé ma CB et ensuite mon code à un homonyne habitant mon quartier, pourtant 2° prénom, date de naissance et adresse étaient différents
- m'a donné un chèque de banque pour acheter une maison alors que le dossier de prêt était égaré et que le prêt n'était pas débloqué -> donc chèque de banque sans provision ! et blocage banque de France
- perdus un certain nombres de chèques, pourtant déposés à l'accueil, avec bordereau de dépôt signé et tamponné

Mon ancienne banque pro m' a déjà :
- fait endosser des chèques qui n'était pas pour moi
- perdus des espèces remises au guichet puisque la "boîte ..." était en train d'être déplacée. Elles on été retrouvées 1 mois plus tard ...
et avait aussi :
- déplacer la "boite à déposer les espèces" afin qu'elle soit perpendiculaire à la rue, face à un banc squatté en permanence par des petits dealers
- modifier le site internet qui est resté au moins 2 semaines en http et plus https ...
- et ensuite, le site est resté pendant au moins 2 ans avec un code d'accès à 4 chiffres

Alors les banques et la sécurité ...

[renan35]

bonjour,
il touche tous les mac OS ? ou bien juste les 10.8 à 10.12 ?

[ekami]

Gatekeeper, c'est le truc qui te protège trop tard quand t'as déjà été infecté...

[clarusad]

Alors les banques et la sécurité ...

+1 !
Quand on pense comment leurs réseaux informatique étaient protégés au début des années 2000, ça fait peur. D'autant que certaines travaillent encore avec de l'échange automatique de fichiers .xls avec des routines VBA pour les traiter...

Ça ressemble à de la science-fiction, pourtant c'est dans le monde réel que ça se passe.

[fabounio]

Quand on pense que les distributeurs de billets tournent sous une version spécifique de windows XP...

[Jack the best]

Mon ancienne banque personnelle a déjà :
- envoyé ma CB et ensuite mon code à un homonyne habitant mon quartier, pourtant 2° prénom, date de naissance et adresse étaient différents
- m'a donné un chèque de banque pour acheter une maison alors que le dossier de prêt était égaré et que le prêt n'était pas débloqué -> donc chèque de banque sans provision ! et blocage banque de France
- perdus un certain nombres de chèques, pourtant déposés à l'accueil, avec bordereau de dépôt signé et tamponné

Mon ancienne banque pro m' a déjà :
- fait endosser des chèques qui n'était pas pour moi
- perdus des espèces remises au guichet puisque la "boîte ..." était en train d'être déplacée. Elles on été retrouvées 1 mois plus tard ...
et avait aussi :
- déplacer la "boite à déposer les espèces" afin qu'elle soit perpendiculaire à la rue, face à un banc squatté en permanence par des petits dealers
- modifier le site internet qui est resté au moins 2 semaines en http et plus https ...
- et ensuite, le site est resté pendant au moins 2 ans avec un code d'accès à 4 chiffres

Alors les banques et la sécurité ...

Pssst ! C'était quoi ta banque ?

[raoulito]

Mon ancienne banque personnelle a déjà (...)
Alors les banques et la sécurité ...

Pssst ! C'était quoi ta banque ?

+1

***********

sinon on a vraiment affair eà un truc complexe. Là je reviens à mon concept de base: créer 2 comptes : un admin et un user, le seul vraiment utilisé. De cette manière, la personne vaguement calée qui a aidé à l'install sera consultée plus facilement si le mot de passe admin est demandé...

[Tmps]

...
sinon on a vraiment affair eà un truc complexe. Là je reviens à mon concept de base: créer 2 comptes : un admin et un user, le seul vraiment utilisé. De cette manière, la personne vaguement calée qui a aidé à l'install sera consultée plus facilement si le mot de passe admin est demandé...

As-tu déjà appliqué cette méthode? Cela devient vite chiant pour l'admin et l'utilisateur car dans la grosse majorité des cas, la demande du mot de passe est légitime et sans risque.
Et soi l'admin ne fait que communiquer le mot de passe quand c'est nécessaire, l'utilisateur aura vite fait de le retenir et de ne plus rien demander à l'admin. Si c'est l'admin qui doit intervenir et bien bonne chance à lui!

Dans une agence, où j'ai géré le parc Mac des graphistes, c'était la politique appliqué. Si elle est semble logique et compréhensible, dans les faits c'est réellement pénible. Rendant les utilisateurs totalement dépendants de l'admin pour la moindre modification du système. Il faut organiser la gestion de toutes les mises à jour. Dans certains cas, même ajouter une imprimante nécessite le mot de passe admin. Au final, bien plus d'inconvénient, au quotidien, que d'avantages.

Car le gros problème du compte admin et user, c'est tout ou rien. L'admin peut tout faire, l'utilisateur quasiment rien. On devrait pouvoir donner, à l'utilisateur, des droits étendus comme ne rien pouvoir installer d'autre que ce qui est déjà présent mais pouvoir faire les mises à jour. Plus dans le style du contrôle parental :-)

Ce message a été modifié par Macbox - 29 Apr 2017, 15:18.

[nanar]

Bonjour tout le monde
Pour mes trucs sensibles ( banque, impôts, et tout le bazar ) je me sert d'un macbook sous lion et je ne télécharge rien avec

[Tmps]

Mon ancienne banque personnelle a déjà :
- envoyé ma CB et ensuite mon code à un homonyne habitant mon quartier, pourtant 2° prénom, date de naissance et adresse étaient différents
- m'a donné un chèque de banque pour acheter une maison alors que le dossier de prêt était égaré et que le prêt n'était pas débloqué -> donc chèque de banque sans provision ! et blocage banque de France
- perdus un certain nombres de chèques, pourtant déposés à l'accueil, avec bordereau de dépôt signé et tamponné

Mon ancienne banque pro m' a déjà :
- fait endosser des chèques qui n'était pas pour moi
- perdus des espèces remises au guichet puisque la "boîte ..." était en train d'être déplacée. Elles on été retrouvées 1 mois plus tard ...
et avait aussi :
- déplacer la "boite à déposer les espèces" afin qu'elle soit perpendiculaire à la rue, face à un banc squatté en permanence par des petits dealers
- modifier le site internet qui est resté au moins 2 semaines en http et plus https ...
- et ensuite, le site est resté pendant au moins 2 ans avec un code d'accès à 4 chiffres

Alors les banques et la sécurité ...

Tu parles de quoi? Des chèques? C'est fou d'utiliser encore un moyen de payement préhistorique!
Je suis en Belgique et, à presque 48 ans, je n'ai jamais émis le moindre chèque. Et les seuls que j'ai eu en mains ce sont ceux de mes jobs d'étudiants, il y a plus de 30 ans.

[fabounio]

Tu parles de quoi? Des chèques? C'est fou d'utiliser encore un moyen de payement préhistorique!
Je suis en Belgique et, à presque 48 ans, je n'ai jamais émis le moindre chèque. Et les seuls que j'ai eu en mains ce sont ceux de mes jobs d'étudiants, il y a plus de 30 ans.

En France, beaucoup de professions libérales (Médecins, ostéopathes, psys, dentistes sont "oldschool" et n'ont pas de terminal de paiement.
On utilise aussi les chèques pour payer un notaire par exemple, surtout pour les très gros montants
Je me serais mal vu donner au notaire une valise de billets pour finaliser l'achat de mon appartement, ou un coup de carte bleue même pas gold Ceci dit j'avais un cheque de banque, pas fou le notaire, il faisait pas confiance aux chaque ordinaires.

[linus]

Mater aussi les dossiers Launchdaemons, LaunchAgents, StartupItems dans /Library et dans votre compta., des fois on y trouve des mouchards, comme ceux de Google nous refile des qu'on installe chrome ou Google Earth et qui permettent d'envoyer des stats de ce qu'on fait sur l'ordi... a Google, au passage ça fait ramer certains mac.

Très intéressant mais qui sait vraiment faire cela ?
Chaque fois que je regarde "Activity monitor", j'y vois des tas de trucs dont je n'ai pas la moindre idée de ce que ça fait. Lorsque je cherche sur internet, je trouve (ou je ne trouve pas) une explication parfois compréhensible (souvent un truc Apple incompréhensible) mais cela prend du temps et, dans la majorité des cas, me voilà bien avancé.
Bref, un utilisateur qui n'a pas ta grande culture informatique reste perplexe. Je trouve qu'on est là dans la même situation qu'avec la réparation des permissions pour laquelle je n'ai jamais vu d'explication des innombrables messages, sauf pour les plus évidents.
J'aimerais bien un document ou une appli qui donne l'explication et l'origine des innombrables daemons qui tournent dans les macOS modernes, et surtout, la liste de ceux qu'on ne peut pas tuer sans risque !

Ce message a été modifié par linus - 29 Apr 2017, 16:41.

[Lionel]

Gatekeeper, c'est le truc qui te protège trop tard quand t'as déjà été infecté...

Gatekeeper et le pseudo antivirus d'Apple sont des tentatives pour retarder l'inéluctable sous macOS. Mais une fois encore, le jour où je renoncerais sur mon Mac à la liberté pour de la sécurité, ben je laisse tomber.

[Rorqual]

Je me serais mal vu donner au notaire une valise de billets pour finaliser l'achat de mon appartement, ou un coup de carte bleue même pas gold Ceci dit j'avais un cheque de banque, pas fou le notaire, il faisait pas confiance aux chaque ordinaires.

En général c'est plutôt un virement bancaire qui est utilisé !

[Ralph_]

J'ai installé un logiciel afin de scanner mon réseau il y a une quinzaine de jours
https://www.fing.io/download-free-ip-scanne...indows-and-osx/

Je ne le trouve pas et me demande si ça ne m'a pas installé un sale truc à la place (aucune trace dans le dossier d'app mais il est dans les informations système...)

[_Panta]

J'ai installé un logiciel afin de scanner mon réseau il y a une quinzaine de jours
https://www.fing.io/download-free-ip-scanne...indows-and-osx/

Je ne le trouve pas et me demande si ça ne m'a pas installé un sale truc à la place (aucune trace dans le dossier d'app mais il est dans les informations système...)

Salut

Il ne me plait pas trop ce soft, et pour le supprimer en entier, il faut que tu fasses une recherche avancée en ligne de commande .

- Ouvre le terminal
- Colle ce code qui va indexer le contenu de l'ordi si tu ne l'as pas encore fait
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.locate.plist
- Patiente le temps qu'il indexe tes disques
- ensuite fait une recherche en tapant
locate overlook*
puis
locate fing*
- Ensuite si tu as reussi à repérer où il s'est installé et que tu veux virer tout les éléments de ce programme :
sudo find / -name "overlook*" -exec rm {} \;
sudo find / -name "fing*" -exec rm {} \;

Attention, les 2 dernières lignes de codes sont destructives, donc à utiliser avec compréhension.

Ce message a été modifié par _Panta - 29 Apr 2017, 19:22.

[Tmps]

Qui saute pas n'est pas Marseillais!

???
J'ai du mal à donner un sens à cette partie de ta signature

Ce message a été modifié par Macbox - 29 Apr 2017, 19:29.

[FolasEnShort]

Qui saute pas n'est pas Marseillais!

???
J'ai du mal à donner un sens à cette partie de ta signature

Normal, t'es pas supporter de l'OM.

[ABACA]

Tu parles de quoi? Des chèques? C'est fou d'utiliser encore un moyen de payement préhistorique!
Je suis en Belgique et, à presque 48 ans, je n'ai jamais émis le moindre chèque. Et les seuls que j'ai eu en mains ce sont ceux de mes jobs d'étudiants, il y a plus de 30 ans.

Tu as 48 ans, mais tu fais partie des hommes préhistoriques.

[Munch]

Mater aussi les dossiers Launchdaemons, LaunchAgents, StartupItems dans /Library et dans votre compta., des fois on y trouve des mouchards, comme ceux de Google nous refile des qu'on installe chrome ou Google Earth et qui permettent d'envoyer des stats de ce qu'on fait sur l'ordi... a Google, au passage ça fait ramer certains mac.

Très intéressant mais qui sait vraiment faire cela ?
Chaque fois que je regarde "Activity monitor", j'y vois des tas de trucs dont je n'ai pas la moindre idée de ce que ça fait. Lorsque je cherche sur internet, je trouve (ou je ne trouve pas) une explication parfois compréhensible (souvent un truc Apple incompréhensible) mais cela prend du temps et, dans la majorité des cas, me voilà bien avancé.
Bref, un utilisateur qui n'a pas ta grande culture informatique reste perplexe. Je trouve qu'on est là dans la même situation qu'avec la réparation des permissions pour laquelle je n'ai jamais vu d'explication des innombrables messages, sauf pour les plus évidents.
J'aimerais bien un document ou une appli qui donne l'explication et l'origine des innombrables daemons qui tournent dans les macOS modernes, et surtout, la liste de ceux qu'on ne peut pas tuer sans risque !

Yep, on peut même attacher des scripts tout faits d'Apple Script pour être notifié quand le contenu de ces dossiers est modifié
Sinon, je trouve quand même le processus d'infection initial un peu grossier...
Notamment la pseudo fenêtre réclamant une mise à jour système pour "problèmes de sécurité"
Jusqu'à présent, ça ne se passe jamais ainsi sur Mac OS
Ça sautera aux yeux de n'importe quel user, un tant soit peu averti, certes...

Ce message a été modifié par Munch - 29 Apr 2017, 21:51.

[_Panta]

Sinon, je trouve quand même le processus d'infection initial un peu grossier...
Notamment la pseudo fenêtre réclamant une mise à jour système pour "problèmes de sécurité"
Jusqu'à présent, ça ne se passe jamais ainsi sur Mac OS
Ça sautera aux yeux de n'importe quel user, un tant soit peu averti, certes...

Clairement, mais on est dans un monde de Mac-ounours ici, donc les pots de miels de ce genre fonctionnent encore plus que chez les windows-ounours
Ils vont vite s'éduquer

[Tmps]

...
Sinon, je trouve quand même le processus d'infection initial un peu grossier...
Notamment la pseudo fenêtre réclamant une mise à jour système pour "problèmes de sécurité"
Jusqu'à présent, ça ne se passe jamais ainsi sur Mac OS
Ça sautera aux yeux de n'importe quel user, un tant soit peu averti, certes...

Grosse, très grosse erreur de jugement!

Et quand bien même, d'après ce qu'il est expliqué, il n'est pas possible de faire autre chose que valider.

Ce message a été modifié par Macbox - 29 Apr 2017, 21:59.

[Munch]

...
Sinon, je trouve quand même le processus d'infection initial un peu grossier...
Notamment la pseudo fenêtre réclamant une mise à jour système pour "problèmes de sécurité"
Jusqu'à présent, ça ne se passe jamais ainsi sur Mac OS
Ça sautera aux yeux de n'importe quel user, un tant soit peu averti, certes...

Grosse, très grosse erreur de jugement!

Certainement…
Moi je réagis juste strictement à ce qui est décrit.
Déjà ouvrir une pièce jointe zippée, comme ça pour le plaisir, why not?

Ensuite on voit une fenête avec écrit "dokument" mais bon, je pinaille…


Et quand bien même, d'après ce qu'il est expliqué, il n'est pas possible de faire autre chose que valider.

C'est à dire?
Tu as deux membres du cartel avec un Beretta sur ta nuque?

Au pire, et c'est presque du Ransomware, si cette fenêtre bidon imposant la fausse update bloque la machine, soit on peut cherche à tuer son process, soit hélas on boote d'aiileurs et on formate…
Eh oui t'as perdu, you get pawned,! Ca arrive même à des gens biens, mais au moins tu ne persistes pas à aggraver le truc.
D'où l'intérêt capital (une fois de plus) du backup!

En revanche, et les spécialistes pourront confirmer ou infirmer, la capture d'écran avec l'URL du proxy malfaisant et le 127.0.0.1, ça veut dire que ça va modifier le Localhosts?