Tweet
Un Trojan sur Mac une possible implication de la Syrie (SEA)
Un nouveau Trojan sur Mac a été découvert , ayant pour effet de créer un Backdoor (une porte dérobée) sur le Mac infecté.
Il a été découvert par le site Virus Total (service de recherches de virus en ligne gratuit).
Apparemment le centre de Contrôle et de Commande (C&C) du BotMaster est en panne et n'envoie plus de commandes aux utilisateurs infectés.
Le virus ayant infecté seulement quelques utilisateurs, il semblerait que ce soit une attaque ciblée, à la différence d'une attaque à grande échelle,le niveau de menace globale semblerait faible
Ce cheval de Troie ayant son extension.app invisible, est déguisé en image. A l'heure actuelle la méthode de spreading de ce malware n'est pas encore connu.
Ce malware pourrait être spread par email, placé dans une page web dans le cadre d'une watering hole attack ou d'une faille XSS.
Lorsqu'il est exécuté, le cheval de Troie se copie dans /Users/Shared/UserEvent.app
MD5 6a36379b1da8919c1462f62deee666be
SHA-1 40b34e91cde683a567974750d1c5c9bcb09a87bb
Afin de s'éxécuter à chaque démarrage, le Trojan crée également un LaunchAgent dans ~ /Library/LaunchAgents/UserEvent.System.plist renvoyant vers son dossier d'installation (mentionné plus haut)
Ce Malware pour Mac cache sa présence du Dock et de l'application CMD-TAB.
Lors de l'infection il ouvre l'image dans lequel il se camouflle faisant croire a l'utilisateur que ce n'est qu'un simple fichier image.
Une fois installé, le cheval de Troie se connecte au serveur C&C par le port 7777.
Ce cheval de Troie installe un backdoor permanent qui permet à l'attaquant d'envoyer une variéte de commandes et d'avoir un contrôle total sur le Mac infecté (Bot/zombie).
Lors de quelques test sur le C&C il a été observé qu'en plus d'envoyer des commandes et de recevoir diverses informations concernant le Bot, le C&C envoit aussi l'image suivante sur la machine cible.
538486syrianelectronicarmy.jpg
Le logiciel Intego VirusBarrier est actuellement à jour et protège donc les Mac Users, ce malware est détecté sous le nom de OSX/Leverage.A.
La question évidente serait de nous demander si ce trojan serait l'oeuvre de la SEA (Syrian Electronic Army) ou seulement un coup monté (voir une imposture ?) ?
Un nouveau Trojan sur Mac a été découvert , ayant pour effet de créer un Backdoor (une porte dérobée) sur le Mac infecté.
Il a été découvert par le site Virus Total (service de recherches de virus en ligne gratuit).
Apparemment le centre de Contrôle et de Commande (C&C) du BotMaster est en panne et n'envoie plus de commandes aux utilisateurs infectés.
Le virus ayant infecté seulement quelques utilisateurs, il semblerait que ce soit une attaque ciblée, à la différence d'une attaque à grande échelle,le niveau de menace globale semblerait faible
Ce cheval de Troie ayant son extension.app invisible, est déguisé en image. A l'heure actuelle la méthode de spreading de ce malware n'est pas encore connu.
Ce malware pourrait être spread par email, placé dans une page web dans le cadre d'une watering hole attack ou d'une faille XSS.
Lorsqu'il est exécuté, le cheval de Troie se copie dans /Users/Shared/UserEvent.app
MD5 6a36379b1da8919c1462f62deee666be
SHA-1 40b34e91cde683a567974750d1c5c9bcb09a87bb
Afin de s'éxécuter à chaque démarrage, le Trojan crée également un LaunchAgent dans ~ /Library/LaunchAgents/UserEvent.System.plist renvoyant vers son dossier d'installation (mentionné plus haut)
Ce Malware pour Mac cache sa présence du Dock et de l'application CMD-TAB.
Lors de l'infection il ouvre l'image dans lequel il se camouflle faisant croire a l'utilisateur que ce n'est qu'un simple fichier image.
Une fois installé, le cheval de Troie se connecte au serveur C&C par le port 7777.
Ce cheval de Troie installe un backdoor permanent qui permet à l'attaquant d'envoyer une variéte de commandes et d'avoir un contrôle total sur le Mac infecté (Bot/zombie).
Lors de quelques test sur le C&C il a été observé qu'en plus d'envoyer des commandes et de recevoir diverses informations concernant le Bot, le C&C envoit aussi l'image suivante sur la machine cible.
538486syrianelectronicarmy.jpg
Le logiciel Intego VirusBarrier est actuellement à jour et protège donc les Mac Users, ce malware est détecté sous le nom de OSX/Leverage.A.
La question évidente serait de nous demander si ce trojan serait l'oeuvre de la SEA (Syrian Electronic Army) ou seulement un coup monté (voir une imposture ?) ?