Les utilisateurs de Mac se croient généralement à l’abri des virus et malware en tout genre que l’on retrouve sur Windows. APT28, le groupe de hackers russes associés aux services secrets russes, vient de siffler la fin de la récrée.
« Apt28 ont élevé leur niveau de jeu », les chercheurs en sécurité informatique de Bitdefender ont débusqué une variante Mac OS X du composant XAgent de Sofacy / APT28 / Sednit APT. Une backdoor largement utilisée par les hackers d’APT28 sur Windows / Linux, iOS et Android et qui leur a permis de pirater la messagerie du parti Démocrate en pleine campagne présidentielle américaine, selon le rapport du département à la Sécurité intérieure et le FBI.
Les hackers russes d’APT28 à la manoeuvre
Une fois installé (via un email de phishing, généralement), le logiciel vérifie si un débogueur est attaché au processus. S’il en détecte un, il s’interrompt pour empêcher l’exécution. Sinon, il attend qu’une connexion internet soit établie pour lancer la communication avec les serveurs de commande et de contrôle. APT28 est connu pour utiliser les URL très proches des structures visées, c’est le cas ici puisque la plupart des URL analysées se font passer pour des noms de domaines Apple.
« Une fois connecté au C&C, la charge utile envoie un ‘HelloMessage’, puis génère deux fils de communication s’exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes », précise Bitdefender.
Collecte des mots de passe et sauvegardes iPhone
À l’instar des variantes existantes, XAgent pour Mac est conçu de façon modulaire. Ces modules permettent de sonder les configurations matérielles et logicielles du système, d’exécuter des fichiers, prendre des captures d’écran et collecter les mots de passe enregistrés sur le navigateur.
L’un des modules, « le plus important en termes de collecte de renseignements » est celui qui permet d’exfiltrer les sauvegardes iPhone stockées sur le Mac. Sauvegardes qui peuvent être chiffrées depuis iTunes.
Outre le piratage du parti démocrate, les hackers d’APT 28 sont suspectés d’être à l’origine de la cyberattaque menée contre TV5 Monde, supposément revendiquée par Daesh.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
ya pa d viru ché aple !
merde… too late… ^^’
J’ai peur des Russes :/
On nous aurait donc menti, il y a des virus même sans Flash.
En fait, les logiciels Apple sont truffés de failles, il serait tant qu’il se réveille chez Apple.
haha tu te croyais a l abris en payant un mac a 2000 balles
Il y a pas de systeme sans virus ! Mais faut oublier, que pour ce virus puisse s’installer il faut que le user accepte et fasse des manipes (fishing..) et je crois aussi qu’il tappe sont passe admin!
Alors on fait quoi ? Il faut que Apple, microsoft .. ne permettent plus à etre admin sur ca propre machine ..?!
J’ai du mal à comprendre la description des actions de ce virus ( décrit dans l’article ).
POST et GET sont des méthodes d’envois/réception de données avec le serveur.
Si le virus reçoit des données en GET, elles sont visible dans l’URL du coup, l’utilisateur devrait les voir… Et même si le virus fait une redirection après avoir reçu les ordres en GET, il reste une trace sur le navigateur… Donc faudrait que les mecs fassent en plus d’une redirection, une suppression de la ligne dans l’historique…. Soit beaucoup de trucs pour se faire chier…
Pourquoi ne pas avoir tout fait en POST?
Bref, sinon qui a dit qu’il n’y avait aucun virus sous mac? :’)
GET POST sont des requetes HTTP. Pas besoin de navigateur pour cela. Tu peux très bien faire une API de serveur à seveur. Et poour laisser des traces il faut des logs… et savoir ou sont les logs. Voir même savoir ce que c’est !
Personne de sérieux n’a jamais dit qu’il n’y avait pas de virus sur Mac. Juste que ces dernières années les PC (85% de PDM) été le plus visé.
Dans chaques OS, App… il y aura des failles. La faille la plus grosse étant le PEBACK (Problem exists between keyboard and chair). En français “l’interface chai/clavier”. C’est le cas de ce malware qui doit être installé par l’utilisateur (à son insue, cf article sur le hacking social).
Depuis qu’ils ont une architecture commune avec les autres PC, les MAC sont des PC normaux (et meme pas les plus fiables en terme de SAV et proportionnelement Asus>toshiba>lenovo> sony (vaio)>apple>hp …., seul l’OS diffère