Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Un troyen cible les utilisateurs de Mac

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Un troyen cible les utilisateurs de Mac

Si l’on en croit la société Intego, un cheval de Troie conçu pour Mac OS X a récemment fait surface sur plusieurs sites pornographiques. Sa mission, diriger l’utilisateur vers des sites de phishing.


Alors que le pare-feu du fraîchement sorti Leopard soulève une mini polémique, Intego, éditeur de logiciels de sécurité pour Mac OS X, émet un bulletin d’alerte critique au sujet de la découverte d’un cheval de Troie ciblant l’ OS d’ Apple qui tombe comme un cheveu sur la soupe, ou peut-être pas justement pour les intérêts de cette société.

Selon Intego, ce troyen a été découvert sur plusieurs sites pornographiques sollicitant l’installation d’un codec vidéo particulier, sésame soi-disant obligatoire pour la consultation de vidéos gratuites sous Mac OS X avec QuickTime Player. Une campagne de spam organisée sur plusieurs forums Mac a par ailleurs contribué à la promotion de ces sites que la morale (sécuritaire) réprouve.

Si le quidam, appâté et émoustillé par quelques photos en guise de mise en bouche, décide de suivre ses instincts primaires et d’obtempérer en cliquant sur le lien affiché, il rapatrie sur son bureau une image disque (.dmg) à monter. Après installation du paquet lié avec demande de saisie du mot de passe administrateur, point de codec miraculeux mais à la place un troyen identifié sous le nom de OSX.RSPlug.A qui trouvera gîte sur la machine dès lors infectée.

Pouvant avoir accès à tous les fichiers et commandes système, ledit troyen a recours à une méthode qualifiée de sophistiquée mettant à contribution la commande scutil, pour modifier les paramètres DNS de l’ OS. Via un DNS malicieux, certaines requêtes Web seront ainsi détournées pour orienter l’utilisateur vers des sites de phishing prenant l’apparence de sites légitimes comme eBay, PayPal par exemple, ou vers des pages Web affichant des bannières publicitaires pour d’autres sites pornographiques. En outre, OSX.RSPlug.A installe un script activé par le crontab de root qui s’assurera toutes les minutes que les paramètres DNS sont bien conformes à ses souhaits.

Sous Mac OS X 10.4 Tiger, Intego précise qu’à travers l’interface utilisateur, il n’y a aucun moyen d’observer les changements opérés par le troyen dans les paramètres DNS, ce qui n’est pas le cas avec Mac OS X 10.5 Leopard. Les serveurs DNS ajoutés sont toutefois grisés et ne peuvent être supprimés manuellement. Bien évidemment, Intego n’omet pas d’indiquer que la meilleure façon de se protéger contre cet exploit est de mettre à jour les définitions de virus de sa solution VirusBarrier X4. Autre moyen de prévention tout aussi efficace, ne jamais télécharger et installer des applications issues de sources non sûres.

Mac OS X commencerait-il à aiguiser les appétits des pirates ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.