Une nouvelle variante de Mac Defender, Réactions à la publication du 26/05/2011

[Lionel]

Comme il fallait s'y attendre, une nouvelle variante du cheval de Troie Mac Defender a été découverte. Son fonctionnement est toujours le même, vous faire croire à une infection sur votre Mac et en profiter pour récupérer vos informations de carte bancaire pour vous régler le problème, ce qui n'arrive pas puisqu'il n'y en a pas. Il s'agit donc purement d'une arnaque à la CB et pas d'un virus, le seul exploit étant de lancer automatiquement le téléchargement du logiciel rien qu'en visitant certaines pages web.


Pour en revenir à cette variante, elle se distingue essentiellement par le fait qu'elle ne demande plus de mot de passe utilisateur pour s'installer, même s'il faut encore faire cette installation de manière "volontaire". Les process lancés voient aussi leur nom modifié afin de ne pas être vus au premier abord.


Apple va avoir fort à faire pour bloquer toutes les éventuelles variantes de ce logiciel.
Par Lionel

[tdml]

N'y a-t-il même pas l'alerte "ceci est une application téléchargée..." ?
Dans ce cas en effet, je ne vois pas vraiment de faille logicielle. Il faudrait alors interdire aux gens d'être c..., ce qui n'est pas gagné en effet.

[Guest_ps1024_*]

N'y a-t-il même pas l'alerte "ceci est une application téléchargée..." ?

Non, car il ne s'agit pas d'une application mais d'un paquet d'installation. L'Installeur se lance automatiquement, mais rien n'est installé sans le OK de l'utilisateur.

[Cappuccino]

Non, car il ne s'agit pas d'une application mais d'un paquet d'installation. L'Installeur se lance automatiquement, mais rien n'est installé sans le OK de l'utilisateur.

Apple pourrait ajouter son panneau d'information même pour un paquet mais je me demande si l'utilisateur lirait le message à l'écran avant de cliquer ?

[goum]

Non, car il ne s'agit pas d'une application mais d'un paquet d'installation. L'Installeur se lance automatiquement, mais rien n'est installé sans le OK de l'utilisateur.

Apple pourrait ajouter son panneau d'information même pour un paquet mais je me demande si l'utilisateur lirait le message à l'écran avant de cliquer ?

Entre nous, entrer son mot de passe quand on pense installer un antivirus me parait logique... Une mise à jour des fichiers RAW pour les appareils photos ? On nous demande le mot de passe. Quand on fait une mise de codecs tout ce qu'il y a de plus officiel, on nous demande également le mot de passe admin... Bref, on peut être amené à taper son mot de passe régulièrement pour des logiciels tout à fait officiels et sérieux. Donc dur de faire la différence entre un "vrai" antivirus et un "faux" antivirus. Eventuellement on s'arretera avant de saisir son numéro de CB, mais le mot de passe admin aura été au préalable entré donc le soft pourra faire ce qu'il veut.

Ce message a été modifié par goum - 26 May 2011, 08:37.

[Cappuccino]

Entre nous, entrer son mot de passe quand on pense installer un antivirus me parait logique...

Dans ce cas, ça importe peu car l'application n'en a pas besoin, c'est une ruse comme le phishing.

Dans d'autre cas, les gens ne lisent pas ce qui est affiché et cliquent dessus alors à part les informer, que faire ?

Pour faire la différence, le plus simple est de se renseigner avant d'installer ou de télécharger sur des sites de confiance.

[kwak-kwak]

Pour faire la différence, le plus simple est de se renseigner avant d'installer ou de télécharger sur des sites de confiance.

Ca tombe bien, le truc se télécharge automatiquement depuis les sites de confiances (c'est la pub qui lance le chargement, or les sites ne contrôlent pas les pubs qu'ils diffusent). Par contre vu le refus de vous protéger, cette méthode semble être la bonne pour faire du parc à zombies facile:
- On envoie le package via cette "demi"-faille de Safari
- On attend que l'utilisateur clique dessus en le faisant passer pour une mise à jour (de Flash, de Java, ou de Quicktime par exemple)
- Et on laisse tourner le truc en arrière plan pour que l'utilisateur l'oublie.
- Enfin rien n'empêche d’agrémenter le package avec les outils qui vont bien: keylogger, recherche de fichiers "sensibles", outils d’accès à distance, détournement de DNS vers des sites de phishing. Qui a dit argent facile ?

Pour rappel une machine zombie est une machine qui peut partiellement être contrôlée à distance afin d'effectuer des opérations diverses et variée: Faire des attaques DDoS, servir de serveur de spam, ...

Les Mac users une une chance infinie dans cette histoire, l'attaque est techniquement faible: pas de rootkits, pas d'ouverture de faille, pas de prise de contrôle de la machine à distance. Ce devrait être une chance mais la réaction de la communauté est dédaigneuse: "bien fait pour les mauvais, on ne changera rien à nos habitudes".

[Guest_ps1024_*]

Ce devrait être une chance mais la réaction de la communauté est dédaigneuse: "bien fait pour les mauvais, on ne changera rien à nos habitudes".

Je confirme, il ne faut rien changer à ses habitudes, en particulier continuer de refuser l'exécution ou l'installation d'une application que l'on a pas soit même téléchargé et dont on est sûr. Il ne faudrait surtout pas commencer à se dire "si l'anti-malware me dit rien, c'est que c'est bon". Ca, ça serait une immense erreur.

Ces malwares sont finalement nuisibles à double titre; d'une part parce qu'ils piègent les utilisateurs les plus naïfs, et d'autre part parce qu'ils pourraient inciter Apple à adopter un système autant fermé que sur iOS, ce qui serait pour bon nombre de MacUsers dont je fais partie une véritable catastrophe.

Ah ah ah, j'attend avec impatience les premiers messages nous expliquant que Mac Defender est un coup d'Apple pour imposer le Mac App Store comme seul moyen d'installer des logiciels sur Mac OS X !!!