Quand le cybercrime débarque sur Mac OS X...
Publié par Arnaud Dimberton le | Mis à jour le
Les regards se tournent vers cette nouvelle plaie, et la méthodologie de l'attaque est dévoilée.
Dans un article publié le lundi 5 novembre, nous annoncions la découverte du premier cheval de Troie à but malveillant ciblant les utilisateurs de Mac.
A l'écriture de cette brève peu d'informations circulaient sur ce problème, mais l'éditeur McAfee vient de publier sur son site un communiqué détaillant la méthode utilisée par les cybercriminels.
Depuis le début 2005, une famille de malware baptisée Puper (aka Zlob) s'attaque aux ordinateurs Windows. Il s'agit d'une menace très sérieuse dont les sites spécialisés dans la sécurité ont longtemps fait choux gras, notamment pour la façon particulièrement habile dont elle s'installe.
De nos jours, les cybercriminels utilisent Puper pour infecter des pages Web de réseaux sociaux et plus particulièrement MySpace.
Et Puper cible aussi les Macs
Concrètement la méthode de contamination est simple. L'utilisateur Mac lorsqu'il visite MySpace, peut avoir envie de consulter une vidéo, les hackers le savent et en profitent.
Sur certaines pages MySpace, la consultation d'une vidéo est assujettie au téléchargement d'un codec. En réalité, si l'on donne son aval, on télécharge un codec malveillant et la vidéo ne peut toujours pas être consultée.
Le fichier téléchargé n'est pas un .exe comme pour Windows, il s'agit en réalité d'un fichier DMG (ndlr: image ISO lisible, inscriptible et cryptable nativement sous MAC OS X). Selon la configuration du navigateur Web, ce fichier se lance automatiquement et installe une application nommée: MacCodec.
Des douzaines de sites contenant plusieurs variantes de ce faux codec ont été repérés par les experts en sécurité de McAfee.
L'utilisateur du poste contaminé ne le réalise pas, mais d'une façon quasi invisible un script est créé. Ce dernier va programme une tâche pour changer le point DNS et renvoyer l'utilisateur vers un serveur malveillant. À partir de cet instant, toutes les URL que l'utilisateur va visiter sont susceptibles d'héberger du code malveillant.
Bref, la méfiance est désormais à l'ordre du jour pour les macophiles, une position qui, jusqu'à aujourd'hui, n'était pas dans leurs habitudes.