Ondrej Holzman Les ordinateurs Mac sont attaqués par de nouveaux logiciels malveillants qui prennent des captures d'écran à l'insu de l'utilisateur, puis téléchargent des fichiers sur des serveurs douteux. Le virus se cache sous l'application macs.app. Mais pour l’instant, elle n’est pas très répandue.
Un nouveau type de menace contre les utilisateurs d'ordinateurs Apple a été découvert sur le Mac de l'un des participants au Oslo Freedom Forum, une conférence internationale sur les droits de l'homme organisée chaque année à Oslo par la Fondation des droits de l'homme.
Une fois que vous avez installé macs.app, l'application s'exécute en arrière-plan et prend des captures d'écran en silence. Chaque image capturée est stockée dans un dossier Application Mac dans votre répertoire personnel à partir duquel les fichiers sont téléchargés vers securitytable.org a docsforum.inf. Aucun des deux domaines n'est disponible.
[do action="tip"] Vérifiez votre répertoire personnel pour un dossier Application Mac (voir photo).[/faire]
Macs.app peut fonctionner sur votre Mac car, contrairement à d’autres logiciels malveillants, un identifiant de développeur Apple fonctionnel lui est attribué, ce qui signifie qu’il échappe à la protection Gatekeeper. Le numéro d'identification appartient à un certain Rajender Kumar, et Apple a la possibilité de geler ses droits, ce qui rendrait probablement également le fonctionnement du virus impossible. On peut donc s’attendre à une intervention précoce de la société californienne.
C'est bon à savoir. Mais pourquoi diable devrais-je l'installer (est-ce un .app ou un package d'installation) ?
F-secure enquête actuellement sur le malware afin de mieux déterminer son origine, ses modes d'installation et son fonctionnement.
Je n'ai pas découvert sous quelle forme il est téléchargé exactement, mais lorsque vous l'avez sur votre ordinateur, il démarre automatiquement lorsque vous démarrez votre ordinateur. Cependant, je ne vois pas s'il doit être installé.
Logiquement, l'utilisateur doit l'exécuter, la seule question est de savoir s'il est "packagé" avec une application, légale ou crackée, ou si un email du type "Photos nues de, exécutez-moi maintenant" arrive et l'utilisateur le démarre.
Puisqu'il a l'air primitif (il peut être écrit très facilement en AppleScript) et qu'il écrit dans le dossier de l'utilisateur, il ne devrait même pas avoir besoin d'un mot de passe administrateur, mais je juge simplement d'après l'image et les informations contenues dans l'article, il ça pourrait être différent :)
S'il démarre après le démarrage, alors je dirais qu'il doit terminer l'installation (même le démon ou l'application elle-même). Quoi qu'il en soit, comme l'écrit DJManas, il l'écrit précisément dans le dossier de l'utilisateur afin qu'il n'y ait pas besoin de mot de passe. Je ne comprends pas pourquoi il l'écrit dans "MacApp" et non ".MacApp" - de cette façon, personne qui n'a pas de fichiers cachés visibles (donc 90% des personnes) ne le remarquerait.
Ce que je considère comme un problème plus important, c'est que quelqu'un a utilisé son propre identifiant de développeur pour contourner GateKeeper - ici, Apple doit réagir très rapidement et interdire ces personnes pour toujours. Peut-être que je pourrais le voir sur une fonction "signaler comme spam/virus", cachée quelque part en profondeur, de sorte qu'Apple devrait commencer à le traiter immédiatement chaque fois qu'il reçoit plus d'une notification de ce type concernant l'application.
J'avoue que je n'ai pas mon identifiant de développeur officiel, mais je pense qu'il suffit de créer un e-mail, de payer un abonnement, même pour 900,- par an, et l'utilisateur est "en direct" et peut jouer ( s'il ne le met pas directement dans l'AppStore), ce qui peut apporter satisfaction, mais je ne sais pas exactement comment ça marche, corrigez-moi s'il vous plaît.
D'un autre côté, les utilisateurs peuvent avoir désactivé GateKeeper parce qu'ils installent des choses à partir du Web, et j'avoue que je l'ai également désactivé, car cela ne me permettait pas d'installer une application que j'utilise habituellement, je suppose que c'était OnyX. à l'époque (10.8 fraîchement installé) et il n'a pas été détecté. Je me demande s'ils sont déjà des développeurs officiels et je peux l'activer…
Je l'ai également désactivé pour ma femme car j'ai développé quelques "applications/scripts/widgets" que seuls elle et moi utilisons et elle ne m'a pas laissé l'installer sur son OSX…
Je recommande d'activer Gatekeeper et si vous souhaitez installer une application qui n'est pas signée, faites simplement un clic droit sur le package/l'application et cliquez sur Ouvrir. Il existe alors une possibilité de contourner le Gatekeeper pour ce cas. Je le fais moi-même et cela me semble plus sûr : je peux également installer des applications non signées, mais Gatekeeper garde un œil sur tout le reste.
Merci, je ne le savais pas