OS X a été confronté à de nombreux malwares depuis le début de l’année et le dernier en date est sans doute un des pires de tous. OSX/Keydnap ne s’attaque effectivement pas au système dans sa globalité et il préfère ainsi se concentrer sur un outil très sensible : le trousseau d’accès. Le pire reste d’ailleurs à venir car ce programme malveillant est parfaitement capable de récupérer les mots de passe contenus dedans.
Le trousseau d’accès est disponible sur OS X depuis quelques versions maintenant. Il porte plutôt bien son nom et il regroupe ainsi tous les mots de passe saisis par l’utilisateur sur sa machine.
Intéressant, mais ce n’est pas fini car les certificats et les clés sont aussi stockés dedans, de même pour les notes sécurisées de l’utilisateur.
OSX/Keydnap se fait passer pour une simple archive
Si vous avez une bonne connaissance de l’univers Mac, alors vous savez sans doute que ce fameux trousseau a été victime d’une vulnérabilité l’année dernière. En s’appuyant sur un composant particulier, des chercheurs en sécurité sont parvenus à accéder à son contenu et à dérober ainsi les mots de passe stockés dedans.
Ils avaient appliqué une méthode pointue pour parvenir à leurs fins, une méthodes reposant sur l’interception des communications faites entre le trousseau et les différentes applications et sites web qui y accèdent.
La méthode mise au point était très efficace, bien sûr, mais elle n’était pas particulièrement accessible et il fallait donc maîtriser un minimum le sujet pour parvenir à récupérer les données stockées dans le trousseau d’accès.
Cette fois malheureusement, la situation est un peu différente. OSX/Keydmap n’a pas besoin d’un utilisateur chevronné derrière pour fonctionner et c’est précisément ce qui le rend aussi terrifiant.
Un malware qui vise surtout les néophytes
Découvert par ESET, ce programme malveillant est distribué par le biais d’une archive ZIP contenant un fichier image ou un document texte. Enfin, c’est en tout cas l’impression qu’il donne. Ces fichiers contienne en effet un espace dans le suffixe du document et ils sont donc capables de lancer… une commande sur Terminal.
Ce malware est d’ailleurs assez pervers car il sera tout à fait capable d’afficher le document contenu dans l’archive. Le truc, c’est qu’il ouvrira aussi un Terminal en fond de tâche, à l’insu de l’utilisateur.
GateKeeper s’activera pour alerter l’utilisateur, bien sûr, mais les novices se laisseront sans doute berner.
Et ensuite ? En s’exécutant, OSX/Keydmap créera automatiquement une porte dérobée, une porte persistante. Elle restera ouverte en permanence et l’application s’arrangera même pour demander de temps à autre le mot de passe du compte administrateur, sous des prétextes fallacieux. Lorsqu’il l’aura obtenu, il se connectera au Trousseau d’accès et il récupèrera en un instant tous les identifiants et tous les mots de passe contenus dedans pour les envoyer au pirate.
Un malware plutôt méchant, donc…