Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

DOK, le malware macOS qui utilisait un certificat reconnu par Apple

Vous êtes le maillon faible, au revoir
Logiciel 5 min
DOK, le malware macOS qui utilisait un certificat reconnu par Apple
Crédits : Fuse/Thinkstock

Une importante menace a été détectée sur Mac. Le malware, nommé Dok, est en capacité de prendre le contrôle de la machine et pouvait jusqu'à récemment éviter la détection par la plupart des antivirus. 

Traditionnellement, bon nombre d’utilisateurs de macOS considèrent qu’ils sont plus à l’abri que ceux sous Windows. Le nombre de menaces y est en effet bien moindre, mais cet écart ne cesse ne se réduire avec le temps. Même si aujourd’hui encore les machines Windows sont les plus visées pour des questions évidentes de parts de marché, il ne faut pas considérer pour autant que les ordinateurs d’Apple sont protégés de manière inhérente contre les malwares.

DOK rappelle à ce sujet à quel point l’utilisateur est encore et toujours le « maillon faible » de la chaine de sécurité. Car quelles que soient les mesures de protection présentes sur une machine, c’est lui qui peut donner à un logiciel malveillant son pouvoir de nuisance.

Simple comme une pièce jointe

DOK débarque sur un Mac sous forme d’une pièce jointe présente dans un email. Une technique vieille comme le monde mais qui fait toujours ses preuves. Selon CheckPoint qui révèle les détails de la menace, le courrier contient un texte expliquant que des incohérences ont été détectées dans les remboursements d’impôts. De quoi titiller la curiosité et amener les utilisateurs peu suspicieux vers la pièce jointe, qui contient évidemment les « détails ».

La pièce jointe déclenche immédiatement l’installation de DOK. Et si cette étape ne réclame aucun signalement particulier, c’est parce qu’elle est signée avec un authentique certificat de sécurité reconnu par Apple, capable donc de passer la protection GateKeeper. Le malware est ainsi reconnu comme un logiciel tout à fait valable, soulignant une fois de plus la fragilité de cette chaine de confiance. Le certificat apparait comme signé par Seven Muller en date du 21 avril et provient de Comodo.

Une fois en place, les choses sérieuses commencent.

Une cascade d’actions menant à la prise de contrôle totale

Comme l’indique CheckPoint, DOK s’installe dans le dossier /Users/Shared/ puis crée dans la foulée un nouvel élément loginItem nommé « AppStore » afin de s’exécuter automatiquement à chaque ouverture de session. Ce qui lui permet notamment d’insister jusqu’à son installation complète, au cas où la machine serait amenée à redémarrer avant qu’elle soit terminée.

Une fois cette étape franchie, DOK affiche une fenêtre présentant toutes les apparences d’un message provenant d’Apple. L’utilisateur se voit expliquer que des mises à jour pour OS X sont disponibles et invité à cliquer sur « Update All ». La fenêtre est large et s’épingle au-dessus des autres, empêchant l’utilisateur d’y accéder. Un comportement auquel Apple n’a jamais recours, ce qui est la dernière occasion d’avoir de gros soupçons.

Si la victime clique et valide l’action avec son mot de passe, DOK gagne alors les droits administrateurs sur la machine et installe Brew, un gestionnaire de paquets pour macOS. Il est utilisé ensuite pour déployer divers outils, dont Tor, qui va servir au malware pour communiquer tout ce que fait l’utilisateur.

DOK

Intercepter le trafic et piéger avec de fausses pages web

Les droits acquis servent également à modifier les paramètres réseau du système. DOK en profite ainsi pour autoriser toutes les connexions sortantes à passer par un proxy. Ce dernier est bien entendu fourni par le pirate, qui va pouvoir mettre autant d’attaques de type homme-du-milieu qu’il le souhaite.

La vraie menace pour l’utilisateur est le fonctionnement « transparent » des modifications ainsi réalisées. Dès qu’il va se rendre sur un site quelconque, le pirate va pouvoir le réorienter vers une fausse version. Et pour un peu qu’il visite un site bancaire ou de commerce en ligne, il pourrait être amené à fournir des informations très sensibles, qui seront alors dérobées.

Un malware particulièrement discret

DOK dispose de plusieurs attributs qui le rendent pénible à détecter. Apple a révoqué hier le certificat, mais toutes les installations ayant eu lieu avant restent actives. Par ailleurs, il est actuellement indétecté par la plupart des antivirus selon CheckPoint. Cela étant, maintenant qu’il a été trouvé et analysé, les signatures vont rapidement être mises à jour.

Signalons également que DOK, sitôt que l’attaque a réussi, se supprime de lui-même sans laisser de trace, ce qui a concouru à sa discrétion. Son objectif est en effet de préparer le terrain aux outils suivants, il n’a donc pas besoin de rester.

Notez qu’on ne sait pas exactement depuis quand DOK existe. Le certificat date bien du 21 avril et est donc très récent, mais d’autres versions ont pu être utilisées dans des déclinaisons antérieures du malware.

Recommandations et suppression de DOK

Comme indiqué, le certificat est maintenant révoqué, ce qui interdit toute installation discrète. Le cas de DOK rappelle cependant qu’en dépit de toutes les mesures qui peuvent être prises, aucune sécurité ne peut être sérieuse si l’utilisateur n’applique pas lui-même quelques règles élémentaires de sécurité, dont le doute systématique de toutes les pièces jointes dans les emails. La vigilance sera donc toujours de mise.

Pour vérifier si vous êtes infecté par DOK, il faut se rendre dans les Réglages de macOS, puis dans Réseau. Dans les paramètres de la connexion active, on se rend alors dans l’onglet Proxy puis on clique sur Configuration automatique du proxy. Si une adresse de type « http://127.0.0.1 » est présente, c’est que la machine a été contaminée.

iMore liste l’ensemble des manipulations nécessaires pour se débarrasser complètement de DOK. Outre la suppression de l’adresse mentionnée, il faudra effacer deux fichiers, et surtout le fameux certificat.

10 commentaires
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 02/05/17 à 13:08:51

jolie saleté :chinois:

Avatar de Toorop2004 Abonné
Avatar de Toorop2004Toorop2004- 02/05/17 à 13:10:07

Y a des mecs qui cogitent sec quand même...

Avatar de perdu Abonné
Avatar de perduperdu- 02/05/17 à 13:49:19

J'avoue c'est beau comme technique!!

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 02/05/17 à 14:58:05

Comodo, ils ont pas déjà fait des bêtises avec un certificat de sites web ??

Avatar de Palamecia INpactien
Avatar de PalameciaPalamecia- 02/05/17 à 18:52:44

Soriatane a écrit :

Comodo, ils ont pas déjà fait des bêtises avec un certificat de sites web ??

Si si, encore une fois :D

Avatar de anonyme_47da8d4ad4eb955aa025af080b0387df INpactien

10/10 pour l'article et le malware

Avatar de Wype INpactien
Avatar de WypeWype- 02/05/17 à 22:17:47

Beau, discret, simple et efficace. Même les malwares respectent les guidelines Apple :D

Avatar de Juju251 Abonné
Avatar de Juju251Juju251- 03/05/17 à 05:47:56

Soriatane a écrit :

Comodo, ils ont pas déjà fait des bêtises avec un certificat de sites web ??

Ils ne sont pas les seuls, Symantec a rencontré pas mal de "réticences" de Google dernièrement.
Par contre, pour revenir sur le malware DOK : Sacrée saleté, mais jolie d'un point de vue technique.
Il y a des types qui réfléchissent. Oo

Avatar de emersion INpactien
Avatar de emersionemersion- 03/05/17 à 06:54:53

La question est maintenant de savoir si Symantec s'est fait pirater, si le certificat a été obtenu à cause des mesures laxistes de l'autorité de certification ou s'il a été obtenu par d'autres moyens (comme directement auprès du détenteur).

Avatar de RaphAstronome Abonné
Avatar de RaphAstronomeRaphAstronome- 04/05/17 à 20:42:10

Soriatane a écrit :

Comodo, ils ont pas déjà fait des bêtises avec un certificat de sites web ??

Si la clé privée de la personne indiquée dans le certificat à été volée ou que le pirate a pu trouver ses identifiants pour faire valider le certificat (très possible vu la date de ce dernier) alors ce n'est pas vraiment la faute de Comodo.

Souvent pour ce genre de chose les pirates installent un système de contrôle à distance (genre VNC ou TeamViewer) pour utiliser le PC habituel de la personne et ressembler particulièrement bien à l'utilisateur légitime.
 
À mon avis si c'était un hack au niveau de Comodo je penses qu'il aurait généré un certificat ayant une apparence plus "entreprise" connue ou pas mais pas un certificat nominatif d'un développeur.

Édité par RaphAstronome le 04/05/2017 à 20:43
Il n'est plus possible de commenter cette actualité.