Quimitchin, le premier malware Mac OS de l’année

apple-macbook-pro

Si Malwarebytes déclare avoir découvert le premier malware Mac de 2017, son code et sa diffusion datent de plusieurs années déjà.

Les labos de Malwarebytes viendraient-il de mettre la main sur le premier malware de 2017 s’attaquant à MacOS ? Il semblerait. Paradoxalement, cet agent malveillant, baptisé Quimitchin (OSX.Backdoor.Quimitchin), s’appuie sur du code datant de plusieurs années déjà. « Le premier malware Mac de 2017 a été porté à mon attention par un administrateur informatique, qui a repéré un étrange trafic réseau sortant d’un Mac particulier, indique Thomas Reed responsable des solutions Mac pour la société de services de sécurité et qui a décortiqué le fonctionnement de la bestiole. Cela a mené à la découverte d’un morceau de malware différent de tout ce que j’ai vu auparavant, qui semble avoir eu une précédente existence, non détectée jusqu’à présent, et qui semble viser les centres de recherche biomédicale. »

Des fonctions antérieures à OS X

Le code du malware va ainsi jusqu’à faire appel à des fonctions antérieures à OS X. Le chercheur a notamment remarqué l’intégration de libjpeg, une bibliothèque Open Source dont la dernière mise à jour remonte à… 1998. Autre évidence, à défaut de preuve, de l’ancienneté de l’agent : la création d’un fichier daté de janvier 2015 dans l’un des Mac infectés. Qui plus est, un commentaire dans le code du fichier macsvc, téléchargé depuis un serveur de contrôle et commande (C&C), indique un changement effectué pour Yosemite. Mac OS X 10.10 a été livré en octobre 2014. « Cela suggère que le malware s’est promené au moins un certain temps avant la livraison de Yosemite », commente Thomas Reed.

Ces traces de code ancien ne signifient pas pour autant que le malware est vraiment aussi vieux qu’il le laisse penser. Pour le chercheur, cela pourrait tenir au fait que son auteur ne connaît pas bien l’environnement Mac et s’appuie sur de la documentation datée. Ce qui serait étonnant. Plus crédible : « Il pourrait également utiliser des appels système anciens pour éviter de mettre la puce à l’oreille des systèmes de détections comportementales qui pourraient s’attendre à un code plus récent. »

Captures d’écran et accès aux webcams

Quimitchin se distingue aussi par la simplicité de sa structure. Il embarque juste deux fichiers : le fichier .client qui contient le processus d’exécution et un fichier .plist qui s’assure que .client fonctionne tout le temps. A travers différents appels de fonctions, le malware semble réaliser des captures d’écran et accéder aux webcams afin, de toute évidence, d’exfiltrer des données.

Le script contient également des commandes Linux. Il s’est d’ailleurs avéré que le malware s’exécutait parfaitement, à l’exception du binaire Mach-O, sur un environnement Linux. « Cela suggère qu’il peut y avoir une variante de ce malware expressément conçue pour fonctionner sous Linux, peut-être même avec un exécutable Linux à la place de l’exécutable Mach-O », estime l’expert en sécurité Mac qui n’a néanmoins pas trouvé de telle variante. Il a en revanche mis la main sur deux exécutables Windows dans VirusTotal qui communique avec le même serveur C&C de Quimitchin. Sans en tirer d’autre conclusion que ce simple constat.

Qui se cache derrière Quimitchin ?

Le chercheur de Malwarebyte reconnaît ignorer qui se cache derrière sa première découverte d’un malware Mac de l’année et encore moins son mode infectieux. S’il évoque les histoires de pirates chinois et russes qui visent les recherches scientifiques américaines et européennes, « Il n’y a aucune preuve à ce stade reliant ce malware à un groupe spécifique ». D’autant que l’agent malveillant est « facilement détectable et facile à supprimer ». Bref, le mystère reste entier.

Pour l’anecdote, Malwarebyte a nommé le malware Quimitchin en référence aux espions aztèques qui infiltraient d’autres tribus. De son côté, Apple a porté sa préférence sur Fruitfly (mouche à fruit ou drosophile). Et a réalisé un correctif qui sera téléchargé automatiquement pour prévenir de futures infections.


Lire également
Le ransomware KeRanger cadenasse les utilisateurs de Mac
Un outil pour vérifier que votre webcam n’est pas détournée
La backdoor Mokes s’invite sur Mac OS X