La semaine dernière, la société anti-virus russe Doctor Web divulgué un malware OS X récemment découvert connu sous le nom de Mac.BackDoor.iWorm qui à l'époque avait affecté environ 17 000 machines dans le monde. Alors que le mécanisme exact de l'infection n'était pas clair, une tournure intéressante de l'histoire implique des machines compromises exécutant des requêtes de recherche sur Reddit pour obtenir des instructions sur les serveurs de commande et de contrôle à utiliser pour gérer le botnet.
Il convient de mentionner que pour acquérir une liste d'adresses de serveur de contrôle, le bot utilise le service de recherche de reddit.com et - en tant que requête de recherche - spécifie les valeurs hexadécimales des 8 premiers octets du hachage MD5 du courant Date. La recherche reddit.com renvoie une page Web contenant une liste de serveurs et de ports C&C de botnet publiés par des criminels dans les commentaires sur les listes de serveurs de publication minecraft sous le compte vtnhiaovyd.
Une fois connectée à un serveur de commande et de contrôle, la porte dérobée ouverte par le logiciel malveillant sur le système de l'utilisateur peut recevoir des instructions pour effectuer diverses tâches, allant du vol d'informations sensibles à la réception ou à la diffusion de logiciels malveillants supplémentaires.
Afin de lutter contre la menace, Apple a mis à jour son système anti-malware « Xprotect » pour reconnaître deux variantes différentes du malware iWorm et empêcher leur installation sur les machines des utilisateurs.
Introduit pour la première fois avec OS X Snow Leopard, Xprotect est un système anti-malware rudimentaire qui reconnaît et alerte les utilisateurs de la présence de divers types de logiciels malveillants. Compte tenu de la rareté relative des logiciels malveillants ciblant OS X, les définitions des logiciels malveillants sont rarement mises à jour, bien que les machines des utilisateurs recherchent automatiquement des mises à jour quotidiennement. Apple utilise également le système Xprotect à l'occasion pour imposer des exigences de version minimales pour les plug-ins tels que Flash Player et Java, obligeant les utilisateurs à effectuer une mise à niveau à partir d'anciennes versions connues pour comporter des risques de sécurité importants.
Articles Populaires