Infos

Neutralisation du malware WireLurker pour Mac

La nouvelle sensationnelle de la découverte d’une famille de malwares pour Mac OS X capables d’infecter des appareils iOS a été suivie par une nouvelle déclaration : on avait échappé au pire. Des représentants de la société de sécurité de l’information Palo Alto Networks ont confirmé le démantèlement de la structure de commande de WireLurker, tandis qu’Apple a révoqué le certificat que les individus malintentionnés avaient utilisé pour signer le code malveillant afin de simplifier son chargement sur des iPhones et iPad verrouillés.

Comme l’a déclaré Ryan Olson, chargé des relations publiques de Palo Alto : "WireLurker n’existe plus. Cette attaque s’était distinguée par l’utilisation, pour la première fois, d’une technologie qui était vraiment efficace." L’objectif poursuivi par les attaques à l’aide de WireLurker, limitées au territoire chinois, est inconnu. On sait par contre que ce malware est capable de voler des informations système et des informations de l’utilisateur sur les périphériques nomades. Toutefois, il ne s’intéresse pas aux mots de passe de compte utilisateur ou aux informations d’identification pour la banque électronique.

D’après les informations fournies par les chercheurs, WireLurker attaque le périphérique iOS lorsque celui-ci est connecté au port USB d’un ordinateur infecté. Le malware examine le contenu du périphérique et recherche les applications qui sont très utilisées en Chine : l’application de traitement de photos Meitu, l’application d’achat en ligne sur Taobao ou le client du service de paiement AliPay. Si WireLurker trouve une de ces applications, il la remplace par son homologue Trojan. Ces versions modifiées sont propagées via le magasin en ligne chinois Maiyadi, hébergeur bien connu de versions piratées d’applications pour OS X et iOS. Les experts ont identifié dans son catalogue 467 applications infectées qui, au 16 octobre, avaient été téléchargées par plus de 100 000 utilisateurs, pour un total global de plus de 350 000 téléchargements.

Palo Alto observe WireLurker depuis le 1er juin et au cours de la période écoulée, la société a identifié 3 versions. Ce qui a le plus surpris les enquêteurs, c’est la capacité de ce malware de s’en prendre aux périphériques iOS verrouillés : le fait est que les versions Trojan des applications installées par WireLurker sont signées par un certificat tout à fait légitime. Il appartient à une société chinoise qui participe officiellement au programme lancé par Apple pour le développement d’applications iOS pour entreprises. Il semblerait qu’il a été tout simplement volé. Ce certificat a d’ores et déjà été révoqué.

L’analyse a permis d’établir que le malware n’est pas propagé depuis les serveurs de Maiyadi, mais depuis des stockages dans le cloud offerts par Huawei et Baidu. Lors de son activation, il charge d’abord une série de modules exécutables, de bibliothèques et de fichiers de configuration. Deux processus sont exécutés en permanence sur le périphérique infecté : un maintient la communication avec le serveur de commande et recherche la présence éventuelle de mises à jour tandis que l’autre surveille les connexions USB et définit l’état du périphérique au niveau du jailbreak en tentant de se connecter au service AFC (Apple File Conduit) qui ouvre un accès root sur le périphérique.

Palo Alto a découvert un seul serveur de commande de WireLurker à Hong Kong ; il diffuse des mises à jour et des applications iOS, traite les rapports sur l’état des malwares résidents et reçoit les données volées des deux plateformes attaquées. Les versions antérieures de WireLurker communiquent avec le centre de commande via du texte en clair, la troisième version prend en charge un chiffrement personnalisé.

"Il s’agit probablement de la création d’un groupe de développeurs Mac et iOS doués qui, selon toute vraisemblance, ne sont pas très expérimentés dans la création de malware et dans les méthodes qui permettent d’empêcher sa détection. Dans ce cas, cette première tentative aura été une réussite. Les motifs sont toujours inconnus, mais il est possible que nous puissions répondre à cette question dans quelques temps" avance Ryan Olson.

Source:        Research center

Neutralisation du malware WireLurker pour Mac

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception