 De nouveaux chevaux de Troie ont été découverts, Réactions à la publication du 30/09/2013 |
 |
Bienvenue invité ( Connexion | Inscription )
 30 Sep 2013, 05:06
Message
#1
|
|
 BIDOUILLE Guru  Groupe : Admin Messages : 55 526 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3  |
Des chercheurs en sécurité ont découvert une nouvelle vague d'attaque par Chevaux de Troie visant aussi bien les utilisateurs de Windows que d'OS X.
 Sous OS X 3 applications ressemblant à des produits commerciaux ont été découvertes. Lors de leur premier lancement elle font les choses suivantes:
Ensuite, cet exécutable launchd.app va se connecter au réseau et attendre des ordres sachant qu'il contient un système capable de capturer et de transmettre toutes les frappes clavier. Le code est 64 bits et n'est fonctionnel que sous OS X 10.7 et 10.8. Cette attaque n'est pas nouvelle, ce sont les vecteurs qui le sont et qui ont permis de recycler des systèmes d'attaque antérieurs. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
 |
 
|
 |
Réponse(s)
|
30 Sep 2013, 09:43
Message
#2
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 11 044 Inscrit : 15 May 2005 Membre no 39 209 |
Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à contourner le niveau de sécurité du réglage par défaut de GateKeeper ?
Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ? Edit: grammaire. Ce message a été modifié par divoli - 30 Sep 2013, 10:21. -------------------- Le monde PC écrase les prix, et Apple écrase les pauvres. -- Mac et Applecare : pensez à votre investissement. -- Divoli a dit la vérité, il doit être exécuté. :D -- Êtes-vous un Apple Addict ? :D -- Qu'est-ce qu'un fanboy ? -- Le fanboyisme : une forme de fanatisme. -- Apple provoque une réaction "religieuse" chez ses adeptes.
|
|
|
|
|
30 Sep 2013, 10:24
Message
#3
|
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 941 Inscrit : 2 Jun 2002 Lieu : France Membre no 2 604 |
Citation (divoli @ 30 Sep 2013, 10:43)  Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ? Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ? Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide. Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien. |
|
|
|
|
1 Oct 2013, 10:05
Message
#4
|
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 11 044 Inscrit : 15 May 2005 Membre no 39 209 |
Citation (reversi @ 30 Sep 2013, 11:24) Citation (divoli @ 30 Sep 2013, 10:43) Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ? Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ? Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide. Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien. Merci pour ta réponse. Etant toujours sur 10.6, je n'avais pas réalisé cela. Cela veut dire que le processus de vérification se fait au niveau du téléchargement, et non pas de l'installation en elle-même (ce qui me semblerait plus logique), je trouve que c'est tout de même un peu couillon. -------------------- Le monde PC écrase les prix, et Apple écrase les pauvres. -- Mac et Applecare : pensez à votre investissement. -- Divoli a dit la vérité, il doit être exécuté. :D -- Êtes-vous un Apple Addict ? :D -- Qu'est-ce qu'un fanboy ? -- Le fanboyisme : une forme de fanatisme. -- Apple provoque une réaction "religieuse" chez ses adeptes.
|
|
|
|
|
1 Oct 2013, 16:16
Message
#5
|
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 941 Inscrit : 2 Jun 2002 Lieu : France Membre no 2 604 |
Citation (divoli @ 1 Oct 2013, 11:05) Citation (reversi @ 30 Sep 2013, 11:24) Citation (divoli @ 30 Sep 2013, 10:43) Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ? Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ? Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide. Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien. Merci pour ta réponse. Etant toujours sur 10.6, je n'avais pas réalisé cela. Cela veut dire que le processus de vérification se fait au niveau du téléchargement, et non pas de l'installation en elle-même (ce qui me semblerait plus logique), je trouve que c'est tout de même un peu couillon. Alors, c'est un peu plus compliqué que cela. Lors du téléchargement, le fichier est taggé. Lors de l'ouverture du fichier, le "Finder" repère que le fichier est taggé et présente alors l'alerte qui avertit que le fichier a été téléchargé (et vérifie en passant la signature si besoin). Si c'est un zip ou une image disque, il s'est débrouillé pour tagger le fichier dézippé ou propager "virtuellement" le tag sur les fichiers de l'image disque montée. |
|
|
|
Les messages de ce sujet
Lionel De nouveaux chevaux de Troie ont été découverts 30 Sep 2013, 05:06
ericb2 Je n'aurai jamais plus récent que 10.6, mais ... 30 Sep 2013, 06:37 Lionel Oui, launchd existe tu dois même en avoir deux da... 30 Sep 2013, 06:45 Zekje sans tomber dans l parano, comment peut t o detect... 30 Sep 2013, 07:43 apple noxe J'ai 6 processus dans le moniteur d'activi... 30 Sep 2013, 07:48
reversi Citation (apple noxe @ 30 Sep 2013, 08:48... 30 Sep 2013, 09:07 Akirami Je ne sais pas si ESET Rootkit Detector prend en c... 30 Sep 2013, 08:20 roland-tanguy Si en plus les icônes sont jolies, ça va être d... 30 Sep 2013, 08:26 macgreg2005 bonjour.
Est ce que quelqu'un peut me dire a q... 30 Sep 2013, 09:08 reversi Citation (macgreg2005 @ 30 Sep 2013, 10:0... 30 Sep 2013, 09:30 Le Fée Vert Citation (Lionel @ 30 Sep 2013, 06:06) So... 30 Sep 2013, 09:52 r@net54 Citation (Le Fée Vert @ 30 Sep 2013, 10... 30 Sep 2013, 16:40 reversi Citation (r@net54 @ 30 Sep 2013, 17:40) C... 1 Oct 2013, 09:45 noenoeil Il y a 3 jours j'ai téléchargé et lancé Im... 30 Sep 2013, 10:26 joubex Je me demande deux choses:
Est ce que l'appli ... 30 Sep 2013, 17:06 |
4 utilisateur(s) sur ce sujet (4 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 30th July 2025 - 14:50 |