Malware Windows adapté pour les systèmes Max OS X repéré dans la nature

Les chercheurs analysent un nouveau code d’un programme de porte dérobée vieux de cinq ans utilisé sur Windows, qu’ils ont découvert intégré dans un programme espion conçu pour compromettre les systèmes Mac OS X. Surnommé XSLCmd par les chercheurs, ce malware OS X a été vérifié le 10 août par VirusTotal. D’autres antivirus n’ont pas encore réussi à le détecter, confirmant que les auteurs utilisent un codage beaucoup plus complexe.

La société de recherche en sécurité de premier plan, FireEye, a déclaré dans son article de blog sur ce malware que le code malveillant est compatible avec les architectures CPU PowerPC et 64/86 bits ; en plus de la routine d’installation, une porte dérobée est également présente et s’exécute dès que le processus parent est en cours d’exécution.

“Le code de la porte dérobée a été porté sur OS X à partir d’une porte dérobée Windows qui a été largement utilisée dans des attaques ciblées au cours des dernières années, ayant été mise à jour de nombreuses fois dans le processus”

Les capacités présentes dans la porte dérobée incluent l’ouverture d’un shell inversé ainsi que des actions pour visualiser des fichiers et les transférer vers un emplacement distant, ou exécuter des routines de mise à jour automatique et installer d’autres fichiers exécutables. FireEye affirme qu’en comparaison avec la version Windows, la version OS X présente des fonctionnalités accrues qui permettent de surveiller la victime en enregistrant les frappes au clavier et l’écran de l’ordinateur. Cela, couplé au fait qu’il est resté indétecté jusqu’à présent, indique un auteur de malware très expérimenté.

Les chercheurs croient que la porte dérobée XSLCmd est utilisée dans des activités de cyber-espionnage. Les chercheurs ont identifié les cybercriminels comme GREF. Cette équipe se spécialise dans le cyber-espionnage et est active depuis 2009. C’était l’un des groupes qui a piraté la base industrielle de défense des États-Unis, ainsi que des entreprises d’électronique et d’ingénierie dans le monde entier entre 2011 et aujourd’hui. Bien qu’il ne soit pas connu si ce groupe est composé d’acteurs étatiques de quelque pays que ce soit.

Avec la popularité croissante des ordinateurs et des ordinateurs portables Apple, cela devient un nouveau casse-tête pour la société mère. Jusqu’à présent, les malwares pour machines Mac étaient rares. Le portage de malwares Windows vers d’autres systèmes d’exploitation n’est ni une pratique complexe ni nouvelle. Prenant la forme d’un fichier exécutable Mach-O, la porte dérobée se copie dans “$HOME/Library/LaunchAgents/clipboardd” et crée un fichier dans le dossier qui garantit que la menace est lancée au redémarrage de l’ordinateur, dès que la victime se connecte.

Au cours du processus d’installation, le malware vérifie la version du système d’exploitation et il semble que les versions supérieures à 10.8 (Mountain Lion) ne soient pas prises en compte. Cela pourrait indiquer que les auteurs ont soit ciblé des victimes utilisant cette édition d’OS X, soit que le morceau a été créé spécifiquement pour Mountain Lion.

FireEye croit que les cybercriminels / cyber-gang, derrière cette menace, ne sont pas seulement “avancés” mais aussi “adaptatifs”, considérant le fait qu’ils ont réussi à obtenir la compatibilité de leur boîte à outils avec les nouveaux systèmes d’exploitation adoptés par leurs victimes, et à obtenir une persistance sur les machines infectées.

Vous pouvez lire l’article complet sur XSLCMD ici