Les menaces Mac dans le temps

OSX/Kitm est une backdoor qui peut être utilisée dans le but d’espionner sa victime. Il a la capacité de lancer d’autres exécutables envoyés par le hacker sur l’ordinateur infecté dans le but d’étendre son champ d’actions. Le cheval de Troie est également capable d’enregistrer des captures d’écran et de les envoyer à un ordinateur distant.

OSX/Adware.Yontoo est un bon exemple de graywares et d’applications potentiellement indésirables (PUA) permettant d’atteindre aussi bien OS X que Windows.

Java/Spy.Minesteal, ce trojan similaire à la famille notoire de Win32/PSW.OnlineGames sur Microsoft Windows, vise également, tout comme son homologue, les joueurs en ligne.

Le trojan fonctionne en tant que Backdoor. Il permet de contrôler à distance l’ordinateur infecté et de recevoir données et commandes d’un ordinateur distants ou d’internet via le protocole HTTP dans le but de contacter une URL présente dans son propre code. Ce logiciel malveillant, tout comme sa très réputée variante, Flashback, exploite la vulnérabilité CVE-2012-0507.

Morcut est un trojan spécialement conçu pour OS X Snow Leopard et Lion (certains rapports stipulent qu’il peut s’exécuter sur Leopard mais qu’il tend à y bugger). Il s’installe sans interaction de l’utilisateur et est persistent même après un redémarrage. Par ailleurs, il fonctionne également comme un rootkit qui s’active si le système infecté est ouvert sur le compte administrateur.

Lamadai est un logiciel malveillant spécialement conçu dans le but d’attaquer les ONG (organisation non-gouvernementale) Tibétaines. Pour se faire, les attaquants ont utilisés un leurre de manière à amener les victimes sur un site internet malicieux qui permettait alors via la faille de Java CVE-2011-3544 de propager la menace.

Cet outil de contrôle à distance a été découvert au début de l’année 2011. Il était alors décrit comme une version beta par son auteur.

Ce faux antivirus a aussi été répertorié sous les noms: MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, et MacShield. Apparu en mai 2011, il s’agit très probablement du rogue le plus répandu sur Mac jusqu’à aujourd’hui.

Olyx est une backdoor permettant de contrôler à distance la machine infectée et d’y envoyer données et instructions depuis internet ou depuis un serveur botnet C&C (Commande et contrôle).

OSX/Flashback.A est un cheval de Troie tentant de télécharger d’autres logiciels malveillants sur internet. Flashback est jusqu’à aujourd’hui le Botnet le plus répandu sur les systèmes Mac. Flashback utilise l’ingénierie sociale pour entraîner l’utilisateur à télécharger et installer de lui-même le logiciel malveillant.

Ces deux exemples de logiciels malveillants sont généralement répertoriés de manières distinctes. Ils sont pourtant complémentaires, lorsque Revir joue le rôle du Dropper et du downloader, lmuler.A en profite pour intégrer sa porte dérobée.

Le programme a été répandu en l’ajoutant à des copies illégales du logiciel GraphicConverter (un logiciel fiable). Pour se faire, les copies infectées ont été distribués via des sites de torrent tels que PirateBay. Comme un certain nombre de chevaux de Troie pour Mac, le programme s’éteint automatiquement si Little Snitch est détecté. Autrement, l’application sera automatiquement lancée à chaque redémarrage.

Il s'agit d'une backdoor contrôlée via IRC qui permet au hacker de transformer la machine infectée en un bot destiné aux attaques par déni de service (DDoS). Il contient une liste codée de serveurs IRC et de différents channels auxquels il essaye de se connecter.

La famille des logiciels malveillants OSX/Hovdy comprend un ensemble de scripts destinés à recueillir autant d'informations que possible sur son hôte et de les renvoyer au hacker.

Ce cheval de Troie avec Backdoors peut être contrôlé à distance. Il essaye d’envoyer les informations volées (fichiers et captures d’écran) sur une machine distante aussi bien via les protocoles HTTP que FTP ou SMTP.

Ce logiciel a été pour la première fois signalé au début du mois de Juin 2010. Pour se camoufler il a été intégré avec le logiciel « PermissionResearch » ou « PremierOpinion ».

Ce cheval de Troie codé en Java, attaque les systèmes Mac, Linux et Windows. Il est devenu connu en Octobre 2010 grâce à une stratégie de propagation utilisant différents sites de réseaux sociaux. Déguisé sous forme de vidéo, l’utilisateur recevait un message utilisant la désormais célèbre accroche “Is this you in this video?" (Est-ce vous dans cette vidéo ?), une astuce rappelant de nombreux logiciels malveillants présents sur Windows.

Ce logiciel malveillant POC a été découvert en 2009 sous le nom de Mac/Tored.AA. Ce nom est une modification du nom original trouvé dans le fichier binaire, OSX.Raedbot. Ce vers était capable de se propager par email grâce à son propre moteur SMTP.

Egalement connu sous le nom de Troj/MacSwp-A ou OSX_MACSWEEP, MacSweeper a été pour la première fois découvert en Janvier 2008 et est quelquefois décrit comme la première menace de type Rogue (Scareware en anglais). Ce type de menace consiste à faire passer le logiciel malveillant pour un logiciel de sécurité afin de soutirer de l’argent de ses victimes.

Aussi connu sous les noms: OSX/lmunisator, Troj/MacSwp-B, OSX.MACSWEEP.B ou OSX/AngeloScan, cette menace a pour la première fois été détectée en Mars 2008. iMunizator est essentiellement considéré comme une variante d’OSX/MacSweep (MacSweeper).

Cette famille de logiciels malveillants modifiant les DNS comprends différents codes binaires identifiés sous les noms OSX/Jahlav, OSX/DNSchanger, OSX/Puper, OSX/RSPlug (ainsi que d’autres variations différemment nommées selon les éditeurs de sécurité). Certains éditeurs considèrent même qu’il s’agit de différentes familles de codes, tout en restant originaires du même auteur.

Apparu début 2006, ce logiciel malveillant a fait couler beaucoup d’encre. Avec son icône d’image JPG, cet exécutable Unix se faisait passer pour les premières images exclusives du nouveau Mac Leopard OS X 10.5. Il se transmettait via le client de messagerie iChat sous le nom de latespics.tgz.

Ce vers était donc un POC visant les systèmes OS X. Ecris en Java, il s’est propagé à travers une vulnérabilité Directory Traversal du système de Bluetooth d’Apple. Cette faille a été corrigée ultérieurement par le fabricant (2005-2006).

L’installation de ce script en shell (bash) nécessitait l’accès à un compte administrateur ou l’accès physique à la machine ainsi que les droits d’accès du système. Une fois installé, le logiciel est conçu pour se lancer automatiquement au démarrage sur le compte administrateur sans même avoir besoin de Sudo (un utilitaire, le plus souvent utilisé sur les systèmes d’exploitation utilisant un dérivé d’Unix et permettant de lancer des programmes avec tous les droits).

Ce virus a été développé en tant que POC (Proof of concept ou Preuve de concept), dans le but de montrer la faisabilité de l’idée. Ce cheval de Troie pour Mac développé en 2004 se faisait passé pour un MP3 via l’utilisation de l’icône de ce format. Sa réputation vient principalement de sa date de sortie – il est considéré comme le premier logiciel malveillant pour OS X – plus que de son impact : il n’a pas été vu « in the wild », et les changements ultérieurs du Finder de Mac ont totalement comblés les vulnérabilités qu’il aurait pu exploiter.