Au début de l’année, le monde de Linux et de Windows découvrait la porte dérobée Mokes. Kaspersky Labs avait alors écarté l’environnement OS X. Mais voilà qu’une variante pour cet OS vient d’être découverte par la même équipe.
Stefan Ortloff, chercheur au sein de Kaspersky Lab, a publié plusieurs papiers techniques sur Seculist et en particulier sur cette version OS X de la backdoor. Mokes pour OS X reprend les mêmes caractéristiques que les variantes pour Windows et Linux. Elle se charge par exemple d’enregistrer les sons et de réaliser des captures d’écran toutes les 30 secondes du PC de la victime. La backdoor est capable de détecter la présence d’un support amovible de stockage comme une clé USB, mais également de surveiller la présence de fichiers précis comme les .docx, .doc, .xslx et .xls.
Les attaquants peuvent se servir de la porte dérobée pour exécuter des commandes arbitraires sur le système, les superviser et les affiner, via des filtres émis par le serveur de commande et contrôle. En examinant l’échantillon de la backdoor, Stefan Ortloff a découvert qu’une fois exécutée, elle se copiait dans différents endroits comme le cache de Skype, Dropbox et Firefox.
Une fois installé, elle établit une connexion avec le serveur C&C via http sur le port TCP 80, elle communique à travers le port TCP 443 en utilisant le chiffrement AES-256. Stefan Ortloff s’attendait à voir apparaître cette mouture OS X lors de la découverte en janvier des versions Linux et Windows, en vain. Elle est finalement apparue récemment avec la variante Linux.
Apple a été sollicité pour commenter la découverte de cette backdoor, mais la firme de Cupertino n’a pas réagi. Peut-être trop concentré sur le lancement des iPhone 7 et de la Watch 2. Si les portes dérobées sont relativement rares sur les environnements Mac, elles se développent. En juillet dernier, les équipes de Bitdefender alertaient la communauté sur l’existence du malware Backdoor.MAC.Eleanor.
A lire aussi :
Une backdoor cachée dans les derniers processeurs Intel ?
Chiffrement : la CNIL casse les backdoors
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…