Quand il est téléchargé, le Trojan-Dropper OSX/Revir.A affiche sur l'écran du Mac quelque chose qui ressemble à un document PDF de plusieurs pages, en chinois - peut-être un manifeste politique - un camouflage en réalité. Cependant, celui qui ne résiste pas à l'envie d'ouvrir le faux PDF, installe le cheval de Troie Backdoor : OSX/Imuler.A, lequel, comme son nom l'indique, connecte la machine par une porte dérobée à un serveur distant.
Pour l'instant, c'est la seule opération réalisée par ce cheval de Troie. Le serveur auquel il connecte l'ordinateur n'abrite qu'une simple installation Apache sans danger pour le Mac. De plus, dans la mesure où la souche a été repérée par l'intermédiaire du service de scan VirusTotal et non grâce à des feedbacks d'utilisateurs, les chercheurs de F-Secure ne sont même pas sûrs de savoir comment le Trojan Horse se propage, même si, sur leur blog, ils supposent que le vecteur le plus probable se situe dans les pièces jointes.
Une ruse bien connue
Comme avec les autres malwares Mac, le vrai souci c'est que cet évènement confirme la mise au point d'une méthode d'attaque, et montre comment des logiciels malveillants se font passer pour des fichiers légitimes. Si elle peut inquiéter, la ruse du PDF masqué n'est pas nouvelle : les PC sous Windows ont du faire face à de nombreux chevaux de Troie utilisant l'extension « .pdf.exe » pour s'introduire sur les PC. Dans le cas où l'extension est masquée, la vraie-fausse icône d'un document PDF pourrait inciter les utilisateurs insouciants à cliquer sur un document qu'ils ne devraient pas ouvrir. Comme le dit Rich Mogull, expert en sécurité pour l'environnement Mac, « il est beaucoup plus facile de tromper les utilisateurs et de les amener à installer un logiciel malveillant, que de casser la sécurité du système d'exploitation. »
Ainsi, même si le Trojan-Dropper : OSX/Revir.A ne présente pas de danger immédiat, il rappelle que l'on doit rester vigilant et prendre des précautions raisonnables dans le cas où celui-ci, ou quelque chose qui lui ressemble, devienne une menace bien réelle. Ce n'est pas la première fois que nous invitons les utilisateurs à ne pas cliquer sur des liens ou à ne pas télécharger les pièces jointes aux messages électroniques de personnes inconnues. Si dans Safari, vous décochez l'option « Ouvrir automatiquement les fichiers « fiables » » après téléchargement (Safari -> Préférences -> Général); et aussi longtemps que vous pratiquez le bon sens, vous devriez être à l'abri de la plupart des attaques malveillantes. Vous devez également vous assurer que le fichier de définitions de logiciels malveillants de Mac OS X est à jour.
Une mise à jour chez Apple
Si vous vous laissez accidentellement piéger par ce cheval de Troie particulier, F-Secure a préparé un mode d'emploi pour supprimer manuellement l'accès au backdoor. La manip consiste à ouvrir Moniteur d'activité (dossier Applications/Utilitaires), de sélectionner checkvir dans la liste et de cliquer sur « Quitter l'opération », puis de supprimer les fichiers suivants : /utilisateurs/utilisateur/ Library/LaunchAgents/checkvir/ et utilisateurs/ utilisateur/Library/LaunchAgents/checkvir.plist. Enfin, Apple propose depuis lundi une mise à jour de sécurité pour éradiquer ce problème.
Crédit photo : D.R.