Au début de l’année, le monde de Linux et de Windows découvrait la porte dérobée Mokes. Kaspersky Labs avait alors écarté l’environnement OS X. Mais voilà qu’une variante pour cet OS vient d’être découverte par la même équipe.
Stefan Ortloff, chercheur au sein de Kaspersky Lab, a publié plusieurs papiers techniques sur Seculist et en particulier sur cette version OS X de la backdoor. Mokes pour OS X reprend les mêmes caractéristiques que les variantes pour Windows et Linux. Elle se charge par exemple d’enregistrer les sons et de réaliser des captures d’écran toutes les 30 secondes du PC de la victime. La backdoor est capable de détecter la présence d’un support amovible de stockage comme une clé USB, mais également de surveiller la présence de fichiers précis comme les .docx, .doc, .xslx et .xls.
Les attaquants peuvent se servir de la porte dérobée pour exécuter des commandes arbitraires sur le système, les superviser et les affiner, via des filtres émis par le serveur de commande et contrôle. En examinant l’échantillon de la backdoor, Stefan Ortloff a découvert qu’une fois exécutée, elle se copiait dans différents endroits comme le cache de Skype, Dropbox et Firefox.
Une fois installé, elle établit une connexion avec le serveur C&C via http sur le port TCP 80, elle communique à travers le port TCP 443 en utilisant le chiffrement AES-256. Stefan Ortloff s’attendait à voir apparaître cette mouture OS X lors de la découverte en janvier des versions Linux et Windows, en vain. Elle est finalement apparue récemment avec la variante Linux.
Apple a été sollicité pour commenter la découverte de cette backdoor, mais la firme de Cupertino n’a pas réagi. Peut-être trop concentré sur le lancement des iPhone 7 et de la Watch 2. Si les portes dérobées sont relativement rares sur les environnements Mac, elles se développent. En juillet dernier, les équipes de Bitdefender alertaient la communauté sur l’existence du malware Backdoor.MAC.Eleanor.
A lire aussi :
Une backdoor cachée dans les derniers processeurs Intel ?
Chiffrement : la CNIL casse les backdoors
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.