Un nouveau spyware sur Mac OS X cible des militants des droits de l'homme

Le code d'un malware assez particulier a été découvert sur Mac OS X lors d'une conférence sur les libertés à Oslo. Signe particulier : il est signé d'un Developer ID Apple officiel.

Il aura fallu une fouille méticuleuse de Jacob Appelbaum, chercheur en sécurité informatique américain, dans l'ordinateur d'un participant à la conférence annuelle d'Oslo sur les libertés, pour découvrir un nouveau spyware infectant Mac OS X.

Ce malware, un programme caché nommé mac.apps, s'installe de lui-même et se configure pour démarrer en même temps que la session utilisateur. A l'origine de ce programme malicieux : une attaque par phishing de l'ordinateur appartenant à un militant angolais des droits de l'homme, a expliqué Appelbaum sur son compte Twitter.

The Angolan activist was pwned via a spear phishing attack - I have the original emails, the original payload and an updated payload.

— Jacob Appelbaum (@ioerror) 16 mai 2013

Malware launches in plain sight. Image credit: F-Secure

Attaque ciblée et de faible ampleur

Selon The Register, qui a rapporté cette information, le logiciel en question a effectué des captures régulières du système pour les envoyer vers deux serveurs de contrôle, l'un inactif et l'autre privé. Le journal précise que si une autre version de mac.apps a été découverte sur un système différent, il est peu probable qu'il s'agisse d'une attaque de grande ampleur.

Le lien est assez simple à faire entre un outil qui semble tout bêtement récupérer des informations, probablement à la recherche de données sensibles, et les propriétaires des appareils, militants des droits de l'homme. Un possible épisode de surveillance ciblé, auquel des équipes de l'éditeur de solutions de sécurité F-Secure a rapidement mis fin.

Cela dit, la particularité du malware tient à un autre détail d'importance : l'utilisation d'un identifiant de développeur Apple (Apple Developer ID) pour signer le logiciel. The Register estime que ce point, très inhabituel, est un indice de plus en faveur d'une attaque ciblée sur quelques militants, donc d'un travail spécifique et isolé, plutôt que d'une attaque destinée à se répandre.

Particularité de cette application, elle est signée avec un Apple Developer ID et peut donc s’installer discrètement même si Gatekeeper est activé, ce qui est le cas par défaut. Apple peut néanmoins révoquer ce Developer ID particulier : l’application macs.app ne pourra alors plus être lancée et le système invitera l’utilisateur à la jeter à la corbeille par mesure de sécurité.

Source:zdnet