OSX/Tsunami.A : une nouvelle menace sur MAC OS
ven, 04/11/2011 - 14:42
ESET annonce la découverte d’un malware de type Troyen contrôlé via un C&C IRC (Commande & Contrôle via le protocole IRC). Ce malware permet de transformer la machine infectée en un Botnet afin de pouvoir lancer des attaques DDOS (déni de services). ESET explique que l'originalité de ce malware tient au fait qu’il s’agit d’un portage d'un malware linux vers Mac OSX. Cette différence est immédiatement identifiable en observant la similitude des deux codes. Cette nouvelle variante est un exécutable Mach-O 64 bits alors que pour la version Linux, il s’agit d’une version ELF binaire (Unix/Linux). Cette famille de troyens issus du monde Linux existe sous l’appellation Linux/Tsunami. Cette découverte met en lumière la réalité des menaces véhiculées par l’Internet, quelle que soit la plate-forme, et démontre que l’environnement Mac n’est pas a priori hors d’atteinte.
En plus de pouvoir générer des attaques DDoS, le malware permet à un utilisateur distant de télécharger des fichiers présents sur la machine infectée, de recevoir des commandes ou de mettre à jour le code Tsunami. Le malware peut également exécuter des commandes shell (administrateur), lui donnant la capacité de prendre le contrôle complet de la machine infectée.
Peu après cette découverte, les chercheurs d’ESET ont repéré une nouvelle version de cette même menace semblable à la précédente, mais avec deux différences importantes. La première version détectée ne persistait pas après un redémarrage tandis que la nouvelle se relance à chaque démarrage de la machine via la création d’un fichier :
« /System/Library/LaunchDaemons/com.apple.logind.plist » permettant de lancer le binaire malveillant situé dans « /usr/sbin/logind ». Autre différence, cette variante du code contient de nouveaux paramètres au niveau du serveur IRC, du channel ainsi que du mot de passe permettant de se connecter au channel.
ESET estime que ce malware est en phase de fin de développement et/ou de tests et que le risque est encore limité pour l’instant, mais il laisse présager de nouvelles formes plus élaborées.
Selon Pierre-Marc Bureau, Chercheur en Malware chez ESET, "Cette menace n’a pas la sophistication et la complexité des malwares TDL4 ou Win32/Duqu. Nous pensons que le risque pour les utilisateurs Mac est encore limité, même si ce malware semble évoluer rapidement."