Passer au contenu

Mac OS X : un nouveau cheval de Troie siphonne tous les mots de passe

Le malware Keydnap se fait passer pour une simple image, alors qu’il est un dangereux exécutable qui installera une porte dérobée sur l’ordinateur pour dévaliser le gestionnaire de mots de passe Keychain.

Les chercheurs en sécurité de l’éditeur Eset viennent de tomber nez à nez avec un nouveau malware sous Mac OS X baptisé « Keydnap », spécialisé dans la collecte de mots de passe. Point de faille zero-day dans ce code malveillant : le pirate s’appuie essentiellement sur des techniques d’arnaques et de faux-semblants. La malware arrive sous la forme d’un fichier texte ou une image compressée, probablement diffusé par spam ou téléchargé sur un site piégé.

À lire : RansomWhere détecte les malwares qui chiffrent sur Mac OS X

Une fois décompressé, il ne faut surtout double-cliquer dessus, car le fichier est en réalité un exécutable. « L’extension du fichier se termine par un espace, ce qui provoque son lancement dans une fenêtre Terminal, et non dans Preview ou TextEdit », explique l’éditeur dans une note de blog. L’utilisateur n’y voit que du feu, car la fenêtre Terminal se referme aussi vite qu’elle est ouverte. Par ailleurs, le code exécuté va remplacer la fausse image par une vraie image et l’ouvrir, comme cela était attendu. « Nous avons vu des échantillons avec des images représentant des interfaces d’administration de botnets ou avec des listes de numéros de cartes bancaires. Ce qui suggère que Keydnap cible des utilisateurs de forums underground, voire des chercheurs en sécurité », souligne Eset.

ESET

Evidemment, le code malveillant ne se contente pas de remplacer un fichier. Il va également télécharger un second malware qui installera une porte dérobée sur la machine dont le but sera de voler les mots de passe stockés dans le gestionnaire Keychain de l’ordinateur. Mais il ne pourra le faire qu’en ayant les privilèges administrateur. Pour les obtenir, il va scruter la liste des programmes lancés. Quand de nouveaux processus apparaîtront, il va générer une fenêtre de connexion administrateur, identique à celles que l’on voit de temps en temps sur Mac OS X quand on lance un logiciel un peu particulier. Si l’utilisateur tombe dans le panneau, c’est fini.

ESET

La bonne nouvelle, c’est que le premier exécutable est généralement stoppé par GateKeeper, un logiciel de sécurité sous Mac qui n’autorise le lancement d’un logiciel que s’il provient d’une source sûre. Lorsque l’utilisateur clique sur l’image, une alerte concernant sons exécution s’affichera, ce qui est évidemment totalement anormal pour ce type de fichier. GateKeeper est activé par défaut sur Mac OS X et il est vivement conseillé de préserver ce réglage.

ESET

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN