Une nouvelle variante de Mac Defender, Réactions à la publication du 26/05/2011

[Lionel]

Comme il fallait s'y attendre, une nouvelle variante du cheval de Troie Mac Defender a été découverte. Son fonctionnement est toujours le même, vous faire croire à une infection sur votre Mac et en profiter pour récupérer vos informations de carte bancaire pour vous régler le problème, ce qui n'arrive pas puisqu'il n'y en a pas. Il s'agit donc purement d'une arnaque à la CB et pas d'un virus, le seul exploit étant de lancer automatiquement le téléchargement du logiciel rien qu'en visitant certaines pages web.


Pour en revenir à cette variante, elle se distingue essentiellement par le fait qu'elle ne demande plus de mot de passe utilisateur pour s'installer, même s'il faut encore faire cette installation de manière "volontaire". Les process lancés voient aussi leur nom modifié afin de ne pas être vus au premier abord.


Apple va avoir fort à faire pour bloquer toutes les éventuelles variantes de ce logiciel.
Par Lionel

[Cappuccino]

Difficile de bloquer cela car ça reviendrait à bloquer toutes les apps Elle ne se différencie pas d'une autre. Ils ne peuvent agir qu'après l'installation ou la connaissance du nouveau nom de l'app.

Le mieux est de dire ne pas installer d'anti virus sur Mac (autre que les 2 ou 3 connus à la limite) !

Ce genre d'arnaque est plus difficile à faire avec d'autres types de logiciels, personne ne paierait pour un plugin vidéo par exemple.

Ce message a été modifié par Cappuccino - 26 May 2011, 07:36.

[Lionel]

Il faudrait commencer par interdire les téléchargements automatiques sans consentement de l'utilisateur de Safari. Pour moi c'est clairement une faille.

[Cappuccino]

Il faudrait commencer par interdire les téléchargements automatiques sans consentement de l'utilisateur de Safari. Pour moi c'est clairement une faille.

Ce n'est pas déjà bloqué par défaut ?

De toute façon, dans cette histoire, ça ne change rien, si les gens cliquent sur l'installateur ou donnent leur compte admin ensuite, c'est pareil, ils se feront avoir vu qu'ils pensent installer un anti virus gratuit.

On est plutôt dans l'arnaque qui vise les gens qui n'y connaissent pas grand chose qu'à un virus ou malware. Le danger c'est le gars qui clique, pas l'app en tant que telle

Il faut vraiment que les gens qui débutent prennent de bons réflexes : on n'installe pas n'importe quoi sans se renseigner avant, on ne donne pas son accès admin à n'importe quoi, on ne donne pas son numéro de CB à n'importe qui etc. Avec un ordinateur, il faut presque être parano ou bien finir sur iOS

Lutter contre ce genre d'arnaque n'est possible qu'au niveau légal en fermant les serveurs, très difficilement au niveau technologique.

Ce message a été modifié par Cappuccino - 26 May 2011, 07:45.

[Lionel]

Il faudrait commencer par interdire les téléchargements automatiques sans consentement de l'utilisateur de Safari. Pour moi c'est clairement une faille.

Ce n'est pas déjà bloqué par défaut ?

De toute façon, dans cette histoire, ça ne change rien, si les gens cliquent sur l'installateur ou donnent leur compte admin ensuite, c'est pareil, ils se feront avoir.

On est plutôt dans l'arnaque qui vise les gens qui n'y connaissent pas grand chose qu'à un virus ou malware. Le danger c'est le gars qui clique, pas l'app en tant que telle

Il faut vraiment que les gens qui débutent prennent de bons réflexes : on n'installer pas n'importe quoi sans se renseigner avant, on ne donne pas son accès admin à n'importe quoi, on ne donne pas son numéro de CB à n'importe qui etc. Avec un ordinateur, il faut presque être parano ou bien finir sur iOS

Plus besoin de compte admin, il s'installe dans le dossier applications du user ce qui suffit largement pour l'usage décrit. Il s'agit d'une interface graphique qui fait semblant de faire un scan de disque, affiche une page web et prend les coordonnées bancaires.

[Cappuccino]

Plus besoin de compte admin, il s'installe dans le dossier applications du user ce qui suffit largement pour l'usage décrit. Il s'agit d'une interface graphique qui fait semblant de faire un scan de disque, affiche une page web et prend les coordonnées bancaires.

Elle prend les coordonnées CB parce qu'on lui donne Ce n'est pas un enregistreur de frappe !

C'est l'utilisateur qui les donne. C'est tout le problème. On pourrait faire ce genre d'arnaque avec des tas d'apps différentes et même des apps qui paraissent bien faites ou qui seraient même réellement fonctionnelles. Ça utilise la peur du débutant, que faire à part éduquer les gens ?

Ce message a été modifié par Cappuccino - 26 May 2011, 07:47.

[Lionel]

Plus besoin de compte admin, il s'installe dans le dossier applications du user ce qui suffit largement pour l'usage décrit. Il s'agit d'une interface graphique qui fait semblant de faire un scan de disque, affiche une page web et prend les coordonnées bancaires.

Elle prend les coordonnées CB parce qu'on lui donne Ce n'est pas un enregistreur de frappe !

On est d'accord, mais toi as tu eu peur de cette alerte ? Moi pas, ni pour ma personne ni pour mes proches qui m'appellent dès que leur Mac fait un truc dont ils n'ont pas l'habitude.

C'est l'utilisateur qui les donne. C'est tout le problème. On pourrait faire ce genre d'arnaque avec des tas d'apps différentes et même des apps qui paraissent bien faites ou qui seraient même réellement fonctionnelles. Ça utilise la peur du débutant, que faire à part éduquer les gens ?

On est d'accord, c'est pour ça que je pense qu'Apple aurait dû ne rien faire plutôt que d'annoncer sous la pression des mises à jour. Ce sera intenable.

[Cappuccino]

On est d'accord, c'est pour ça que je pense qu'Apple aurait dû ne rien faire plutôt que d'annoncer sous la pression des mises à jour. Ce sera intenable.

Oui mais s'ils laissent faire sans agir ça peut nuire à leur image. Même Microsoft se charge de ça sur Windows.

Je pense qu'agir après est toujours utile car on ne sait jamais ce que peut faire l'app, elle peut très bien se mettre à jour à distance et devenir un enregistreur de frappe ou un bot net mais effectivement, c'est sans fin

La seule chose qu'ils pourraient faire c'est transformer Mac OS en iOS, là ce genre de machin ne passerait plus mais pour la majorité des utilisateurs ce serait une régression.

[Guest_ps1024_*]

Il faudrait commencer par interdire les téléchargements automatiques sans consentement de l'utilisateur de Safari. Pour moi c'est clairement une faille.

Ca ne changerait rien du tout, ceux qui ont accepté l'installation de ce logiciel aurait aussi accepté son téléchargement...

[tdml]

N'y a-t-il même pas l'alerte "ceci est une application téléchargée..." ?
Dans ce cas en effet, je ne vois pas vraiment de faille logicielle. Il faudrait alors interdire aux gens d'être c..., ce qui n'est pas gagné en effet.

[Cappuccino]

Ca ne changerait rien du tout, ceux qui ont accepté l'installation de ce logiciel aurait aussi accepté son téléchargement...

+1

Il faut interdire l'utilisateur qui clique à tout va !

[Guest_ps1024_*]

N'y a-t-il même pas l'alerte "ceci est une application téléchargée..." ?

Non, car il ne s'agit pas d'une application mais d'un paquet d'installation. L'Installeur se lance automatiquement, mais rien n'est installé sans le OK de l'utilisateur.

[Cappuccino]

Non, car il ne s'agit pas d'une application mais d'un paquet d'installation. L'Installeur se lance automatiquement, mais rien n'est installé sans le OK de l'utilisateur.

Apple pourrait ajouter son panneau d'information même pour un paquet mais je me demande si l'utilisateur lirait le message à l'écran avant de cliquer ?

[pecos]

Le pire avec ce genre de logiciel, c'est qu'aucun anti virus ne peut en venir à bout : celui-ci utilise sournoisement la naïveté de l'utilisateur et l'impression qu'il existe des tas de virus sous MAC OS.
Et donc qu'il lui faut absolument scanner son HD.

A mon avis ça ne marche pas du tout avec des utilisateurs chevronnés ou anciens, mais uniquement avec des newbies venus du monde PC habitués à des anti-virus.

C'est pour ça qu'on ferait mieux de continuer à clamer haut et fort qu'il n'existe pas de virus sous MAC OS : cela éviterait que certains switchers récents ou débutants se croient obligés compulsivement d'installer un anti virus, n'importe lequel...

Mais c'est encore l'histoire de la poule et de l'œuf...

Et il aura toujours des andouilles pour installer n'importe quoi sans réfléchir, mot de passe ou pas.

Maintenant, relativisons : ça n'est qu'une sorte de phishing élaboré, finalement.
Ça pourrait très bien être dans une fausse page web.

Dans tous les cas, il n'y a RIEN à faire. Et là pour le coup, je suis d'accord avec lionel : Apple aurait mieux fait de ne rien dire.

[fmereo]

Peut-être avec un deamon qui avertirait lorsqu'on installe une application qui va se loger aussi dans les startupitem de l'utilisateur ?

[Cappuccino]

Peut-être avec un deamon qui avertirait lorsqu'on installe une application qui va se loger aussi dans les startupitem de l'utilisateur ?

Pas besoin d'un startup item, l'app se lance, scan, fait semblant de détecter un virus et demande le numéro de CB, l'utilisateur n'a pas relancé son ordinateur.

Et il aura toujours des andouilles pour installer n'importe quoi sans réfléchir, mot de passe ou pas.

Andouilles ou gens qui débutent ? Ce serait intéressant d'avoir le profil des gens qui ont donné leur numéro de CB.

[goum]

Non, car il ne s'agit pas d'une application mais d'un paquet d'installation. L'Installeur se lance automatiquement, mais rien n'est installé sans le OK de l'utilisateur.

Apple pourrait ajouter son panneau d'information même pour un paquet mais je me demande si l'utilisateur lirait le message à l'écran avant de cliquer ?

Entre nous, entrer son mot de passe quand on pense installer un antivirus me parait logique... Une mise à jour des fichiers RAW pour les appareils photos ? On nous demande le mot de passe. Quand on fait une mise de codecs tout ce qu'il y a de plus officiel, on nous demande également le mot de passe admin... Bref, on peut être amené à taper son mot de passe régulièrement pour des logiciels tout à fait officiels et sérieux. Donc dur de faire la différence entre un "vrai" antivirus et un "faux" antivirus. Eventuellement on s'arretera avant de saisir son numéro de CB, mais le mot de passe admin aura été au préalable entré donc le soft pourra faire ce qu'il veut.

Ce message a été modifié par goum - 26 May 2011, 08:37.

[Cappuccino]

Entre nous, entrer son mot de passe quand on pense installer un antivirus me parait logique...

Dans ce cas, ça importe peu car l'application n'en a pas besoin, c'est une ruse comme le phishing.

Dans d'autre cas, les gens ne lisent pas ce qui est affiché et cliquent dessus alors à part les informer, que faire ?

Pour faire la différence, le plus simple est de se renseigner avant d'installer ou de télécharger sur des sites de confiance.

[Xdave]

C'est un bon point pour l'AppStore en revanche.
Malgré tout les reproches qu'on peut en faire, le débutant ne devrait que se fier à des sources "fiables".

Ou simplement remarqué que le truc qui vient de s'ouvrir n'a pas été téléchargé par lui "volontairement".
…

Et sinon la collecte de CB se fait bien par un ou plusieurs sites. donc avec une IP et DNS … alors que fait la police?

[sinbad21]

Il ne faut pas demander le mot de passe pour mettre un alias dans "Ouverture au démarrage" ?

[pecos]

Et il aura toujours des andouilles pour installer n'importe quoi sans réfléchir, mot de passe ou pas.

Andouilles ou gens qui débutent ? Ce serait intéressant d'avoir le profil des gens qui ont donné leur numéro de CB.

Oui je me suis mal exprimé, c'était surtout à ça que je pensais.

Le problème avec ce genre de soft est qu'il n'y a vraiment rien à faire : si quelqu'un est capable de donner son numéro de carte bleue à n'importe quel soft sans réfléchir, c'est qu'il est capable de se faire arnaquer en permanence et pas seulement avec un ordinateur.

Le principe est vieux comme le monde : profiter de la paranoïa, de la naïveté ou de l'ignorance de l'utilisateur pour l'arnaquer par un moyen simple et imparable.

Ça va beaucoup plus loin que le domaine des virus informatiques et c'est impossible d'en venir à bout.

[SartMatt]

Le pire avec ce genre de logiciel, c'est qu'aucun anti virus ne peut en venir à bout : celui-ci utilise sournoisement la naïveté de l'utilisateur et l'impression qu'il existe des tas de virus sous MAC OS.

Les anti-virus peuvent tout de même lutter contre ce genre de logiciels, en étant mis à jour suffisamment régulièrement... Mais c'est sûr que c'est pas le pseudo anti-virus plus marketing qu'autre chose qu'Apple a intégré à OS X qui va pouvoir lutter contre ça, vu la fréquence de mise à jour (il n'a toujours pas été mis à jour pour la première version de Mac Defender...).
Les anti-virus sérieux ont actuellement des mises à jour quotidiennes, voir plusieurs par jour. C'est cette réactivité qui fait leur efficacité.

[dark.tonin]

Bonjour,

Juste pour être sûr: pas de problème si ce "virus" s'est téléchargé et ouvert automatiquement (3 fois le temps que je ferme Safari ) mais que l'on a quitté de suite l'installateur et qu'il a fait un aller simple pour la poubelle ?

Merci, c'est juste pour en avoir le coeur net.

[Mathesar]

Entrer un mot de passe admin pour une installe, c'est une chose.
Donner un code de CB c'en est une autre!
C'est illogique d'installer un antivirus sur un Mac;
C'est encore plus illogique de donner son code CB sous la menace d'un logiciel…
Un logiciel ou une page web qui me demande ça, ou encore un mail soit disant de chez Free (encore un aujourdh'ui), je fuis à toutes jambes!
Sans compter que je n'installe pas un logiciel que je n'ai pas demandé!

La premiere protection contre une installe, sur os X, c'est justement la demande de mdp admin: os X dit "untel logiciel a besoin de vitre mot de passe pour d'installer". Mac défender? Connais pas, jamais demandé! Hop! Boom! Annuler!

Ce sont clairement, en effet, les switchers qui sont visés, tellement habitués au virus et autres windowseries qu'ils foncent…

Ce message a été modifié par Mathesar - 26 May 2011, 09:19.

[goum]

Le problème avec ce genre de soft est qu'il n'y a vraiment rien à faire : si quelqu'un est capable de donner son numéro de carte bleue à n'importe quel soft sans réfléchir, c'est qu'il est capable de se faire arnaquer en permanence et pas seulement avec un ordinateur.

Oui et non... Une page web lui indique que sa machine comporte un virus ou un malware. En douce, un soft se télécharge et s'installe (c'est là la faiblesse). La personne pense réellement installer un antivirus et tape (maintenant ne tape plus) son mot de passe. Le soft s'installe comme un vrai logiciel (d'ailleurs s'en est un), ya même un icone dans la barre en haut. Le soft se lance, lance un faux scan et détecte un virus. Apparement le soft ouvre même des pages web pornographiques pour faire croire qu'un virus est vraiment installé. Et c'est quand l'utilisateur clique sur register qu'il doit saisir ses coordonnées bancaires.
Tout à vraiment l'air vrai.
Il suffit de cliquer sur le lien donné par Lionel pour vraiment comprendre on peut se faire piéger très facilement.

A ce niveau là c'est de l'art

Ce message a été modifié par goum - 26 May 2011, 09:22.

[pao2]

Bonjour, si on enlève la croix dans les préférences de Safari (onglet général):
Ouvrir automatiquement les fichiers fiables.

Est ce que l'installeur se lance toujours automatiquement sur les sites vérolés?

Ce message a été modifié par pao2 - 26 May 2011, 09:26.

[Mathesar]

@ pao2:
Apple va proposer une mise à jour de securité (gratuite…) pour endiguer ce malware, peut etre même la nouvelle variante. Mais tu peux toujours essayer….

Sur le lien donné dans la news, on arrive sur une page d'intego. Ils nous informent de ce malware, et pour nous en protéger proposent… d'acheter leur antivirus bien suuuur! ^^
Et ça c'est pas de l'art peut etre?...

Ce message a été modifié par Mathesar - 26 May 2011, 09:26.

[goum]

@ pao2:
Apple va proposer une mise à jour de securité (gratuite…) pour endiguer ce malware, peut etre même la nouvelle variante. Mais tu peux toujours essayer….

Sur le lien donné dans la news, on arrive sur une page d'intego. Ils nous informent de ce malware, et pour nous en protéger proposent… d'acheter leur antivirus bien suuuur! ^^
Et ça c'est pas de l'art peut etre?...

Apple ne proposant pas de solution, il propose la leur (payante)... C'est pas de l'art, c'est du commerce

[kwak-kwak]

Pour faire la différence, le plus simple est de se renseigner avant d'installer ou de télécharger sur des sites de confiance.

Ca tombe bien, le truc se télécharge automatiquement depuis les sites de confiances (c'est la pub qui lance le chargement, or les sites ne contrôlent pas les pubs qu'ils diffusent). Par contre vu le refus de vous protéger, cette méthode semble être la bonne pour faire du parc à zombies facile:
- On envoie le package via cette "demi"-faille de Safari
- On attend que l'utilisateur clique dessus en le faisant passer pour une mise à jour (de Flash, de Java, ou de Quicktime par exemple)
- Et on laisse tourner le truc en arrière plan pour que l'utilisateur l'oublie.
- Enfin rien n'empêche d’agrémenter le package avec les outils qui vont bien: keylogger, recherche de fichiers "sensibles", outils d’accès à distance, détournement de DNS vers des sites de phishing. Qui a dit argent facile ?

Pour rappel une machine zombie est une machine qui peut partiellement être contrôlée à distance afin d'effectuer des opérations diverses et variée: Faire des attaques DDoS, servir de serveur de spam, ...

Les Mac users une une chance infinie dans cette histoire, l'attaque est techniquement faible: pas de rootkits, pas d'ouverture de faille, pas de prise de contrôle de la machine à distance. Ce devrait être une chance mais la réaction de la communauté est dédaigneuse: "bien fait pour les mauvais, on ne changera rien à nos habitudes".

[pao2]

@ pao2:
Apple va proposer une mise à jour de securité (gratuite…) pour endiguer ce malware, peut etre même la nouvelle variante. Mais tu peux toujours essayer….

Ca ne réponds pas a ma question, car je ne connais pas de site qui sont vérolée donc je ne peux pas faire le test! Il me semble que si on enlève la croix dans les préférences de Safari (onglet général):
Ouvrir automatiquement les fichiers fiables.

Safari n'exécute plus automatiquement les softs téléchargés. Alors si ce "malware" est simplement sauvegardé dans son répertoire de téléchargement, il ne posera plus de problème à personne!
D'ou ma question: qu'est ce qu'il se passe si on enlève cette croix?

Ce message a été modifié par pao2 - 26 May 2011, 09:44.