L’application gratuite EasyDoc Converter installe aussi Backdoor.MAC.Eleanor, un malware qui installe une backdoor donnant accès à distance aux systèmes OS X.
Lorsqu’on parle de malware, on fait souvent référence à Android ou Windows. Malgré ce que l’on a tendance à croire, les systèmes Apple ne sont pas à l’abri. YiSpecter, WireLurker, KeRanger sont là pour rappeler qu’iOS et OS X peuvent aussi être la cible des logiciels malveillants.
Justement, les experts de BitDefender viennent de repérer Backdoor.MAC.Eleanor, un malware qui se propage grâce à l’application gratuite EasyDoc Converter. Comme son nom l’indique, cet utilitaire sert à convertir des fichiers depuis un format vers un autre. En plus, il installe également une backdoor sur les Mac, une porte dérobée qui donne accès à distance à un hackeur.
Une fois installé sur un système OS X, Eleanor commence par rechercher la présence du pare-feu Little Snitch. S’il n’est pas présent, le malware va installer trois agents qui se font passer pour des fichiers Dropbox pour ouvrir une backdoor exploitable au travers du réseau Tor.
Eleanor donne l’accès à distance
Lorsque la backdoor est ouverte, le pirate obtient un accès à distance à la machine OS X, ce qui l’autorise à voler des fichiers, mais aussi à les modifier. Il peut également exécuter des commandes et des scripts, voire même envoyer des emails. Il peut véritablement tout faire !
Comme l’application EasyDoc Converter ne dispose pas d’un certificat en provenance d’Apple, elle sera bloquée par défaut. Mais comme la victime peut aller dans les paramètres de son Mac pour autoriser son installation s’il la juge légitime, le risque est bel et bien réel.
Keydnap cible le Trousseau d’OS X
Backdoor.MAC.Eleanor, n’est pas le seul malware à cible OS X cette semaine. ESET annonce la découverte d’OSX/Keydnap, un logiciel malveillant d’origine inconnue. Il infecte une machine en étant chargé en tant que pièce jointe « innocente », une archive ZIP qui contient ce qui semble être une image (.jpg) ou un document texte (.txt). Le détail qui tue est que le suffixe du document contient un espace qui lance un Terminal, et non pas Aperçu ou TextEdit.
Cliquer sur ce document va bien afficher le contenu du document en question… sauf que cela va aussi ouvrir un Terminal. Gatekeeper prévient que le fichier provient d’un développeur non enregistré et qu’il ne peut pas l’ouvrir, un avertissement qui apparait uniquement si seulement les applications en provenance du Mac App Store et des développeurs identifiés sont autorisées. Si ce n’est pas le cas, le malware installe une backdoor et remplace le contenu de l’exécutable par un leurre téléchargé sur internet.
La porte dérobée créée par Keydnap est persistante. En multipliant les redémarrages, il se déguisera en iCloudSyncd pour demander le mot de passe de la session dans le but de récupérer les informations du Trousseau d’accès qui contiennent les identifiants et mots de passe de vos logiciels et services en ligne.