Bien que Mac OS X soit reconnu comme l'un des systèmes d'exploitation dans lequel les utilisateurs n'ont pas à se soucier des virus, ce sont les logiciels malveillants qui font leur chemin sur la plateforme d'Apple. Représentants des sociétés F-Secure et Sophos ils ont découvert un nouveau type de malware appelé générique Compte-gouttes de cheval de Troie qui tente de voler les informations personnelles des utilisateurs. Le cheval de Troie se présente sous la forme d'un fichier PDF affichant un texte écrit en chinois qui, une fois ouvert, télécharge depuis Internet un programme de porte dérobée qui maintient le Mac « ouvert » au pirate informatique et permet de lui envoyer des informations.
Ce cheval de Troie téléchargeur constitue la phase initiale de l'attaque. Il s'agit d'un programme qui, une fois exécuté, installera un utilitaire de porte dérobée appelé « BackDoor:OSX/Imuler.A » sur le système. Le téléchargeur téléchargera et ouvrira également en permanence un document PDF chinois (bien nommé « trojan.pdf ») qui contient des déclarations politiques offensantes, ce qui est apparemment une tentative de distraire l'utilisateur et de dissimuler l'installation du malware de porte dérobée. Lorsque la porte dérobée est installée, elle configure un agent de lancement sur le système qui est utilisé pour maintenir en permanence le logiciel malveillant actif sur le système. Il se connectera ensuite à un serveur distant et enverra le nom d'utilisateur et l'adresse MAC actuels du système au serveur, après quoi le serveur lui demandera soit d'archiver les fichiers et de les télécharger, soit de prendre des captures d'écran et de les télécharger sur le serveur.
Après avoir installé la porte dérobée, le pirate peut archiver et télécharger des fichiers depuis votre Mac ou prendre des captures d'écran de tous les écrans que vous ouvrez, ayant pratiquement accès à des informations personnelles « sensibles ». Bien entendu, ce cheval de Troie doit d'abord être exécuté par un utilisateur disposant d'un accès administrateur, sinon il ne fonctionnera pas. Vous êtes donc en sécurité tant que vous n'exécutez pas d'applications inconnues sur votre Mac. L'ironie est que ce type de malware fonctionne à l'aide d'un fichier PDF, tout comme les solutions de jailbreak, et cela montre combien Apple doit encore travailler dans le domaine de la sécurité pour ce type de documents.
Le bon côté est que le cheval de Troie n'est pas construit correctement et fonctionne de manière irrégulière, et ceux de F-Secure affirment qu'il pourrait être en phase de test maintenant, mais qu'à l'avenir, il pourrait devenir beaucoup plus puissant. Mon conseil est de ne rien installer d'inconnu sur votre Mac et si à l'improviste un fichier s'ouvre dans lequel vous voyez des caractères chinois, accédez au dossier /nom d'utilisateur/Bibliothèque/LaunchAgents/ depuis Mac et supprimez le fichier/dossier nommé chèquevir après avoir fermé le processus à partir du moniteur d'activité.
