Publicités via le malware OSX.Pirrit

Des chercheurs ont détecté une version Mac OS X du célèbre malware Windows Pirrit qui crée un serveur proxy sur l’ordinateur infecté et insère des publicités dans les pages Internet. La société Cybereason Labs de Boston a baptisé cette version OSX.Pirrit ; à l’heure actuelle ses fonctions se limitent à l’affichage de bannières publicitaires, mais l’analyse a démontré que les capacités de ce malware étaient bien supérieures.

« La version actuelle de OSX.Pirrit ne constitue pas une menace sérieuse » a déclaré Amit Serper, l’auteur de la découverte et spécialiste des questions de sécurité sur Mac OS X et Linux chez Cybereason, à Threatpost. « Toutefois, les personnes qui exploitent OSX.Pirrit pourraient, en principe, obtenir un accès complet au système attaqué. »

« Au lieu d’afficher des publicités, ils pourrait tout aussi facilement voler les données personnelles ou le savoir-faire d’une entreprise » écrit Amit Serper sur le site de la société. « Ils pourraient également installer un enregistreur de frappes et voler les données d’accès à un compte en banque ».

Les échantillons de OSX.Pirrit analysés étaient dissimulés dans une fausse mise à jour d’Adobe Flash ou dans des versions piratées de Microsoft Office 2016 et Adobe Photoshop CC. Cybereason a publié un script shell qui permet de supprimer le malware et cet outil est mis à la disposition des experts qui seraient confrontés à une infection de ce genre.

Comme l’explique Amit Serper, « la seule manière de détecter l’activité du malware (outre l’apparition de publicités non sollicitées) consiste à analyser minutieusement la liste des processus lancés. A l’heure actuelle, l’infection ne compte pas beaucoup de victimes, mais nous observons une augmentation du nombre de versions de Pirrit pour Mac OS ».

En général, ce genre d’infection s’accompagne par l’affichage de publicités dans une fenêtre pop-up ou en arrière-plan, de bannières sur les pages d’un site ou de pages sur lesquelles des liens ont été placés à des endroits stratégiques. Un des réseaux publicitaires liés à cette campagne malveillante est le réseau polonais Red Sky. Les propriétaires de ce réseau n’ont pas souhaité répondre aux questions de Threatpost.

« Cela fait déjà quelque temps que ce logiciel publicitaire attaque Windows, mais c’est la première fois que nous le détectons sous Mac » indique Serper. « Les logiciels antivirus ont commencé à le détecter il y a quelques jours ».

D’après Microsoft, le malware publicitaire Win32/Pirrit a été détecté pour la première fois en septembre 2014 ; il se propage principalement via des applications gratuites. La version de Pirrit pour OS X, d’après Cybereason, est plus « malveillante » que son prédécesseur pour Windows car « OSX.Pirrit prend les commandes de l’ordinateur tandis que la version Windows se contente d’afficher des publicités ».

« OSX.Pirrit n’utilise pas de codes d’exploitation pour infecter les Mac » poursuit Amit Serper. « Il s’introduit sur les ordinateurs à l’aide de simples astuces d’ingénierie sociale qui amènent l’utilisateur à saisir des données d’ouverture de session pour installer une fausse mise à jour, par exemple pour Flash. »

La version d’OSX.Pirrit détectée par Cybereason était signée par une certificat Apple authentique afin que son installation ne suscite aucun doute pour la protection intégrée d’OS X. D’après les experts, ce malware a été créé à l’aide du framework Qt, autrement dit, « il a probablement été écrit par une personne qui maîtrise Linux, mais qui n’est pas très forte dans le développement pour OS X ».

« Bien que les lacunes du malware pour Mac OS X offrent peu de contenu à étudier, cela ne signifie pas que les ordinateurs Apple sont à l’abri d’une infection » souligne Amit Serper dans sa conclusion.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *