En fin de semaine dernière, le fournisseur russe de solutions de sécurité Dr Web avertissait de la présence d’un malware ayant infecté plus de 17 000 Mac. Bien que les antivirus aient été mis à jour et qu’une méthode manuelle existe pour s’en débarrasser, Apple a mis à jour ses systèmes d’exploitation pour bloquer la menace.
Souvenez-vous. Au début de l’été 2011, un malware, connu sous le nom de MacDefender, infecte plusieurs centaines de milliers de machines. Ce « succès » était dû en bonne partie à une interface particulièrement léchée et apte à retenir l’attention des utilisateurs : après tout, qui mettrait autant d’efforts dans une interface dans un but malveillant ? Il s’agissait pourtant d’une vaste arnaque prévenant que les machines étaient infectées et qu’il fallait s’abonner pour se débarrasser des menaces. Ces dernières étaient purement fictives, mais l’utilisateur payait, n’obtenait évidemment aucun service en retour et ne revoyait pas son argent.
La portée de cette attaque avait forcé Apple à sortir de sa réserve. Une mise à jour pour Snow Leopard avait mis en place un composant capable de détecter les menaces les plus courantes avant d’en débarrasser automatiquement les machines. On ne pouvait pas comparer cette solution à un antivirus, mais au moins le ménage avait été fait sur les appareils qui ne possédaient pas de telles solutions.
Or ce composant, nommé XProtect, a été mis à jour durant le week-end pour bloquer une autre menace. Découvert par Dr Web, le malware Mac.BackDoor.iWorm a infecté a priori au moins 17 000 machines et a la capacité, une fois mis en place, de créer un botnet, c’est-à-dire un réseau de machines zombies. Il se servait de listes de serveurs Minecraft publiées sur Reddit pour distribuer les adresses IP des serveurs de contrôle.
La mise à jour est automatique et permettra de court-circuiter la faculté du malware à rechercher d’autres listes de serveurs de contrôle. Notez dans tous les cas qu’une méthode manuelle existe pour s’en débarrasser.
Commentaires (35)
Sympa de passer par reddit au lieu d’IRC comme la plupart, même si IRC est plutot utilsé pour distribuer les commandes et que la c’est plutôt une sorte de bootstrap pour nouveau node.
Par contre si la liste des serveurs C&C est publiée, du coup il va etre relativement facile de retrouver le sommet de la pyramide.
un composant capable de détecter les menaces les plus courantes avant d’en débarrasser automatiquement les machines. On ne pouvait pas comparer cette solution à un antivirus
Sans vouloir troller, la description ressemble tout de même furieusement à ce que fait un antivirus. Ou il y a un truc qui m’a échappé ?
On sait quel était la finalité ? Bitcoin, spam, ddos, etc. ?
apple c’est de pire en pire ces temps ci.
maintenant je déconseille a tout le monde les produits apple pour raison de sécurités et de stabilités
Comment savoir si on est à jour au fait ?
Il se servait de listes de serveurs Minecraft publiées sur Reddit pour distribuer les adresses IP des serveurs de contrôle.
J’aime bien cette technique, c’est malin, le joueur qui tombe sur la liste et test les serveurs se dit que la liste et obsolète, ça reste discret ^^
Oui mais sachant que la grande majorité des utilisateurs de mac sont des hipsters et des artistes ça prouve que les macos sont super bien sécurisés pour qu’il y ait si peu d’infections.