Eset vient de découvrir un
malware dont l'ambition est de voler les identifiants sur Mac OS X.
Dénommé "Keydnap", ce malware cible Mac OS X et peut exfiltrer les mots de passe et les clés stockés dans le gestionnaire de mots de passe de l'OS (KeyChain) et créer ainsi une porte dérobée permanente. "Nous pensons qu’il pourrait se propager par des pièces jointes contenues dans les spams, des téléchargements à partir de sites non sécurisés ou d'autres vecteurs" expliquent les spécialistes d'Eset.
Le code malveillant Keydnap est distribué sous forme de fichier .zip avec un fichier exécutable qui imite l'icône Finder généralement appliqué aux fichiers texte ou JPEG. Ainsi, la probabilité que le destinataire double-clique sur le fichier augmente. Une fois démarré, une fenêtre de terminal s’ouvre et la fichier de malware est exécutée.
Le malware commence alors la collecte et l’exfiltration des informations de base qui figurent sur le Mac. Il obtient même les privilèges administratifs lorsqu’il ouvre la fenêtre dédiée d’OS X. Si la victime saisit ses identifiants, la porte dérobée fonctionne alors comme un root, avec le contenu exfiltré du porte-clés de la victime. "Bien qu'il existe des mécanismes de sécurité multiples en place au sein d’OS X pour réduire l’impact des logiciels malveillants, il est possible de tromper l'utilisateur" explique Marc-Etienne Léveillé, Malware Researcher chez ESET.
Ce dernier conseille aux utilisateurs d'OS X de rester vigilants car pour le moment l'entreprise ne sait toujours pas comment Keydnap est distribué, ni combien de victimes ont été touchées.