La backdoor Mokes s’invite sur Mac OS X

Un chercheur de Kaspersky a découvert une variante de la backdoor Mokes sur OS X. Elle permet d’espionner ou d’exécuter du code à distance.

Au début de l’année, le monde de Linux et de Windows découvrait la porte dérobée Mokes. Kaspersky Labs avait alors écarté l’environnement OS X. Mais voilà qu’une  variante pour cet OS vient d’être découverte par la même équipe.

Stefan Ortloff, chercheur au sein de Kaspersky Lab, a publié plusieurs papiers techniques sur Seculist et en particulier sur cette version OS X de la backdoor. Mokes pour OS X reprend les mêmes caractéristiques que les variantes pour Windows et Linux. Elle se charge par exemple d’enregistrer les sons et de réaliser des captures d’écran toutes les 30 secondes du PC de la victime. La backdoor est capable de détecter la présence d’un support amovible de stockage comme une clé USB, mais également de surveiller la présence de fichiers précis comme les .docx, .doc, .xslx et .xls.

Un essaimage de portes

Les attaquants peuvent se servir de la porte dérobée pour exécuter des commandes arbitraires sur le système, les superviser et les affiner, via des filtres émis par le serveur de commande et contrôle. En examinant l’échantillon de la backdoor, Stefan Ortloff a découvert qu’une fois exécutée, elle se copiait dans différents endroits comme le cache de Skype, Dropbox et Firefox.

Une fois installé, elle établit une connexion avec le serveur C&C via http sur le port TCP 80, elle communique à travers le port TCP 443 en utilisant le chiffrement AES-256.  Stefan Ortloff s’attendait à voir apparaître cette mouture OS X lors de la découverte en janvier des versions Linux et Windows, en vain. Elle est finalement apparue récemment avec la variante Linux.

Apple a été sollicité pour commenter la découverte de cette backdoor, mais la firme de Cupertino n’a pas réagi. Peut-être trop concentré sur le lancement des iPhone 7 et de la Watch 2. Si les portes dérobées sont relativement rares sur les environnements Mac, elles se développent. En juillet dernier, les équipes de Bitdefender alertaient la communauté sur l’existence du malware Backdoor.MAC.Eleanor.

A lire aussi :

Une backdoor cachée dans les derniers processeurs Intel ?

Chiffrement : la CNIL casse les backdoors

Crédit photo : Jne Valokuvaus-Shutterstock