Un nouveau malware OS X récemment découvert suggère le retour de Hacking Team

Hacking Team pourrait faire son retour avec le nouveau malware Mac OS X

Un nouvel échantillon de malware OS X récemment découvert suggère qu’il pourrait provenir de Hacking Team, la controversée entreprise italienne qui vend des logiciels de surveillance aux gouvernements. Le vendeur d’exploits revient sur le marché après une cyberattaque désastreuse, au cours de laquelle leurs données ont été divulguées dans le domaine public, y compris le code source de tous leurs logiciels.

Selon les chercheurs en sécurité, le nouveau malware OS X trouvé dans la nature est probablement une nouvelle version de l’ancien malware Mac de Hacking Team. L’échantillon, selon eux, est principalement composé du même code que l’ancien malware de Hacking Team pour Mac OS X, mais possède de nouveaux composants qui l’aident à rester indétectable.

Les chercheurs notent également que le malware installe une copie de la plateforme de compromission Remote Code Systems (RCS) de l’entreprise, les amenant à croire que la célèbre et controversée entreprise italienne est de retour.

Le malware en question installe différents programmes sur un ordinateur. Cette fois, le malware est un « dropper », qui est utilisé pour implanter d’autres logiciels sur un ordinateur et semble installer le RCS de Hacking Team. « Le dropper utilise plus ou moins les mêmes techniques que les anciens échantillons RCS de Hacking Team, et son code est plus ou moins le même », a écrit le chercheur en sécurité Pedro Vilaca.

Hacking Team a subi une violation massive de son réseau en juillet dernier, où près de 400 Go de données, y compris des informations sensibles telles que la relation de l’entreprise avec les gouvernements, des e-mails, du code source et des exploits, ont été publiés en ligne. Le groupe est resté mystérieusement silencieux depuis. « Soit il s’agit d’un ancien échantillon, soit HackingTeam utilise toujours la même base de code qu’avant le piratage », a écrit Vilaca. Le groupe a également été accusé par le passé par des groupes de défense des droits de la vie privée et des droits de l’homme de vendre son logiciel à des gouvernements ayant de mauvais antécédents en matière de droits de l’homme.

Plus tôt ce mois-ci, un nouvel échantillon de Trojan basé sur OS X, surnommé « Morcut », a été téléchargé sur VirusTotal, propriété de Google, et à l’époque, aucun programme antivirus populaire n’a pu le détecter. Jusqu’à présent, 15 programmes antivirus, dont AVG, Eset-Nod 32, F-Secure, BitDefender et TrendMicro, ont pu le détecter.

Patrick Wardle de la société de sécurité Synack pense que l’installateur a été mis à jour pour la dernière fois en octobre ou novembre de l’année dernière. Il a ajouté que l’échantillon de malware utilise la plupart du même code que l’ancien malware de Hacking Team.

« Je viens de trouver un code unique dans ce dropper. Ce code vérifie les versions plus récentes d’OS X et n’existe pas dans le code source divulgué », a écrit Vilaca. « Soit quelqu’un maintient et met à jour le code de HackingTeam (pourquoi diable quelqu’un ferait-il cela !?!?!) soit il s’agit en effet d’un échantillon légitime compilé par HackingTeam eux-mêmes. La réutilisation et la réaffectation du code source de malware se produisent (Zeus par exemple), mais mon instinct et les indicateurs ne semblent pas pointer dans cette direction. »

Il n’est pas clair comment ce malware est installé sur un système. Cependant, Wardle a trouvé un moyen de vérifier si votre Mac est infecté.

Voici comment vous pouvez vérifier si vous êtes affecté :

• Pour vérifier si vous êtes infecté, recherchez Bs-V7qIU.cYL ou _9g4cBUb.psr qui est déposé dans le répertoire ~/Library/Preferences/8pHbqThW/.
• Si vous trouvez l’un de ces codes, supprimez tout ce répertoire et retirez le fichier ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.