Après Flashback, d'autres chevaux de Troie visent MacOS X

le 17/04/2012, par Jean Elyan avec IDG News Service, Sécurité, 651 mots

Deux autres chevaux de Troie, bénins cette fois, ciblent les ordinateurs sous Mac OS X d'Apple, exploitant la faille Java patchée la semaine dernière.

Après Flashback, d'autres chevaux de Troie visent MacOS X

Après avoir découvert le Cheval de Troie Flashback sur Mac, les chercheurs en sécurité ont repéré vendredi 13 avril deux autres malwares ciblant le système d'exploitation Mac OS X. 

La bonne nouvelle, c'est que la plupart des utilisateurs n'ont pas de raison de s'inquiéter des effets de ces logiciels malveillants. Tous deux sont des variantes du Cheval de Troie connu sous le nom de SabPub. Celui-ci figure déjà sur la liste de sécurité Securelist tenue à jour par l'expert de Kaspersky Lab Costin Raiu.

La première variante est connue sous le nom Backdoor.OSX.SabPub.a. Comme Flashback, cette menace a vraisemblablement été répandue par des failles Java exploitées à l'intérieur des sites Web et permet un contrôle à distance des systèmes affectés. Cette variante a été créée il y a un mois environ. Selon Graham Cluley, consultant technologique chez Sophos, « le malware est un classique Trojan de backdoor. Il se connecte à un serveur de contrôle via le protocole HTTP, il est commandé et contrôlé à distance par les pirates. Ils peuvent par exemple effectuer des captures d'écran sur les Mac infectés, télécharger ou prendre des fichiers, et exécuter des commandes à distance ».

Des attaques ciblées sans doute

Heureusement, selon Costin Raiu, ce malware n'est plus une menace pour la plupart des utilisateurs, pour différentes raisons. D'une part, il a probablement été utilisé uniquement dans des attaques ciblées. Dans ce cas, elles ont été précédées de l'envoi, par e-mail, de liens vers des sites malveillants. Mais entre-temps, le domaine utilisé pour aller chercher des instructions et infecter le Mac connecté a été bloqué.

Ensuite, la mise à jour de sécurité livrée par Apple pour contrer Flashback fait que toutes attaques basées sur Java sont désormais inoffensives. Non seulement la mise à jour éradique le code malveillant éventuellement introduit par Flashback, mais elle désactive automatiquement les plug-ins Java et Java Web Start des navigateurs, s'ils sont inutilisés pendant une période de 35 jours. Les utilisateurs doivent alors réactiver manuellement Java quand ils rencontrent des applets sur une page Web ou une application Web Start.

Des modes d'action plus anciens

Par rapport à son frère jumeau, la seconde variante SabPub semble utiliser des modes d'actions plus anciens. Au lieu de mener son attaque à partir de sites web malveillants, il utilise comme vecteur des documents Microsoft Word infectés, préalablement distribués par e-mail. Comme la première variante de SabPub, celle-ci n'a été utilisée que dans des attaques ciblées, peut-être contre des militants tibétains.

Alors, sauf si vous travaillez pour une organisation pro-Tibet - et si vous avez tendance à ouvrir des documents Word suspects - il y a peu de raisons de s'alarmer. Tout au plus, SabPub prouve que les Mac ne sont pas immunisés contre les attaques - un fait que Flashback a déjà parfaitement clarifié. Les utilisateurs Mac doivent néanmoins s'assurer qu'ils ont bien appliqué la dernière mise à jour de Java livrée par Apple. Il est  aussi recommandé d'installer un logiciel antivirus (la plupart protègent contre SabPub) et de le maintenir à jour.

Flashback aurait infecté 500 000 Mac dans le monde

Selon certains rapports, Flashback aurait infecté plus d'un demi million de Macs dans le monde et aurait même réussi à toucher certains systèmes de Cupertino, siège d'Apple. Le constructeur californien a été critiqué pour avoir un peu « traîné des pieds » avant de réagir pour réparer cette vulnérabilité. Ce bug dans Java aurait été connu plus de six semaines avant la découverte de Flashback.  Apple a livré un utilitaire pour supprimer le code de Flashback, qui fonctionne uniquement sur les variantes les plus courantes du cheval de Troie.

Plusieurs entreprises de sécurité ont également publié un outil pour supprimer Flashback des systèmes Mac OS X. Mais Kaspersky Lab a dû retirer le sien après avoir constaté qu'il effaçait aussi certains paramètres utilisateur.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...