Mardi, Bitdefender a annoncé que ses chercheurs avaient découvert un nouveau malware qui ciblait les Mac. Le malware est référencé sous Backdoor.MAC.Eleanor et est capable de compromettre totalement votre système. Avec les logiciels malveillants présents, les attaquants peuvent voler des fichiers, contrôler votre webcam, exécuter du code, etc.
Alors, comment ça marche, comment savez-vous si vous êtes affecté et que devriez-vous faire si vous le êtes?
Comment le malware infecte les Mac
Les pirates cherchent souvent des exploits avec le moins de résistance possible, et dans de nombreux cas, c’est l’utilisateur non averti.
Cette porte dérobée n'est pas différente. Il est livré avec ce qui semble être une application de conversion de fichiers légitime, appelée EasyDoc Converter . Cependant, l'application ne fonctionne pas réellement. Une fois installé, il exécute un script malveillant qui installe un service caché Tor, permettant aux attaquants d’accéder à distance et de contrôler la machine infectée. Ce script configure un service Web qui permet aux attaquants de manipuler des fichiers, d'exécuter des commandes et des scripts, d'accéder à une liste de processus et d'applications en cours d'exécution et d'envoyer des e-mails avec pièces jointes.
Le logiciel malveillant utilise également un outil appelé "wacaw" qui permet à un attaquant de capturer des vidéos et des images à l'aide de la webcam intégrée.
En utilisant ce logiciel, Bitdefender a averti un attaquant pourrait "vous empêcher de quitter votre ordinateur portable, vous menacer de vous faire chanter pour restaurer vos fichiers privés ou transformer votre ordinateur portable en un botnet pour attaquer d'autres appareils".
Comment savoir si votre Mac est infecté
Il y a cependant de bonnes nouvelles. Étant donné que le logiciel malveillant n’a été trouvé que dans l’application EasyDoc Converter, vous devez télécharger l’application, l’installer et l’exécuter pour que votre ordinateur soit affecté.
Les Mac ont une étape de sécurité supplémentaire appelée Gatekeeper, située dans les Préférences Système sous Sécurité et confidentialité. Par défaut, il empêche les applications non signées de développeurs non identifiés de s'exécuter. Si vous téléchargez une application non signée en dehors du Mac App Store et essayez de l'exécuter, un message vous informant que l'application ne peut pas être ouverte s'affiche.
Si vous avez téléchargé l'application, en supposant que Gatekeeper ne soit pas désactivé, cette invite se serait affichée lorsque vous avez essayé d'exécuter l'application. Pour ouvrir l'application, vous devez délibérément remplacer les paramètres de sécurité pour exécuter l'application pour la première fois.
Ainsi, si vous n'avez jamais téléchargé l'application et / ou n'avez pas contourné les paramètres de Gatekeeper pour l'exécuter, votre Mac n'est pas infecté par le malware Backdoor.MAC.Eleanor.
D'autre part, si vous avez l'une ou l'autre, votre Mac est susceptible d'être infecté.
Comment s'en débarrasser
Si vous avez toujours accès à votre Mac, vous avez de la chance. Malwarebytes et Sophos ont déjà été mis à jour pour détecter Backdoor.MAC.Eleanor, et tout logiciel anti-virus analysant les programmes malveillants devrait bientôt le faire. Pour débarrasser votre Mac du logiciel malveillant, téléchargez l’application Malwarebytes Anti-Malware pour Mac ou Sophos Home, lancez immédiatement une analyse et supprimez tous les fichiers associés.
Pour éviter de telles situations à l'avenir, assurez-vous que les paramètres de Gatekeeper sont définis pour autoriser uniquement les applications du Mac App Store et les développeurs identifiés. Si vous devez installer une application à partir d'un développeur inconnu, assurez-vous qu'elle provient d'une source approuvée.
En outre, envisagez d'utiliser une application telle que BlockBlock pour détecter l'installation de tout logiciel persistant. Ce n'est pas nécessairement une détection de malware, mais peut aider à identifier des applications avec des composants qui ne devraient pas être là. Associez cela à une analyse périodique avec Malwarebytes et à une prudence accrue lors du téléchargement d'applications depuis des sources peu fiables. Votre Mac doit rester exempt de programmes malveillants.
Si vous pensez que votre Mac est infecté par ce programme malveillant, la meilleure chose à faire est de restaurer à partir d'une sauvegarde Time Machine ou de réinstaller OS X.
- Accédez à Recovery en éteignant le Mac.
- Maintenez les touches C et R tout en rallumant l'appareil et relâchez-les lorsque le logo Apple apparaît.
- Si vous avez une sauvegarde Time Machine, essayez de restaurer à partir d'une date antérieure à l'installation de EasyDoc Coverter.app.
- Si vous n'avez pas de sauvegarde Time Machine à restaurer, sélectionnez Réinstaller OS X. Attention: vous perdrez toutes les données stockées localement sur le disque dur, y compris les images, les documents et autres.
- Attendez que le système termine la restauration ou la réinstallation et envisagez d'installer un logiciel anti-programme malveillant.
Note de l' éditeur : Cet article a été publié le 7 juillet et a été mis à jour avec les informations de suppression.
Laissez Vos Commentaires