Les ordinateurs d’Apple sont touchés par une nouvelle menace, qui tire parti du même exploit qui a déjà infecté plus de 600 000 machines à la pomme ces dernières semaines. Deux variantes d’un nouvel outil de type backdoor, qui s’appuient sur la même vulnérabilité de Java que Flashback, ont été repérées par des chercheurs en sécurité informatique.
Alors qu’on pensait le problème réglé et les utilisateurs de Macs protégés, voici qu’un nouveau danger pointe le bout de son nez. De quoi rappeler l’absolue nécessité pour les possesseurs de machines tournant sous Mac OS X d’installer les mises à jour critiques publiées par Apple la semaine dernière.
Voici SabPub
La nouvelle menace, baptisée Backdoor.OSX.SabPub, fonctionne en se connectant à une adresse IP basée à Fremont (en Californie) après avoir infecté un ordinateur. Cette adresse envoie ensuite des instructions à la machine, qui s’en trouve zombifiée. Cette attaque de type Command-and-Control reste rare, mais elle est liée à l’attaque "LuckyCat" (qui s’en prend à l’Asie de l’Est depuis l’année dernière) ainsi qu’à la campagne pro-Tibet.
Costin Raiu, expert en sécurité informatique chez Kaspersky Lab, affirme que l’adresse IP utilisée par "SabPub" a été découverte dans un malware lié à une campagne de cyber-espionnage ciblant des militaires indiens et des activistes favorables au Tibet libre.
Trend Micro avait publié des recherches relatives à cette menace début avril, estimant qu’il s’agissait d’attaques ciblées émanant de Chine. Une seconde variante a été découverte dans un fichier .doc, sensé être une déclaration du Dalai-Lama.
Une propagation plus efficace
La différence par rapport à Flashback se situe dans la méthode de propagation. SabPub exploite une faille de Java mais n’a pas besoin que l’utilisateur ouvre un fichier Word piégé pour s’installer. Il nécessite simplement que sa victime clique sur un lien envoyé par e-mail. Il se propage ensuite par le carnet d’adresses de l’utilisateur."SabPub est un cheval de Troie classique qui offre un accès complet au système de la victime pour ses assaillants. Il semblerait que les attaquants aient une liste très réduite de cibles potentielles" explique Costin Raiu, qui estime que le Trojan pourrait potentiellement infecter plus de machines que Flashback, du fait de sa propagation simplifiée.
Les chercheurs pensent qu’il est probable que SabPub se propage depuis la fin du mois du février.
Source :
