OS X est l'un des systèmes d'exploitation les plus sûrs au monde, très peu de types de logiciels malveillants ont été développés pour le système d'exploitation d'Apple. Malgré cela, de temps en temps, un nouveau malware apparaît qui menace les propriétaires de Mac et aujourd'hui je parle d'une nouvelle version d'un malware appelé Imuler. Cette nouvelle menace c'est caché dans des fichiers qui semblent au départ être de simples images mais qui sont en réalité des fichiers infectés qui pourraient vous causer de nombreux problèmes. Le malware est caché dans des archives publiées sous les noms Images et article de Renzin Dorjee.zip si FHM Février Cover Girl Irina Shayk H-Res Pics.zip et la méthode d'infection est basée sur le fait qu'OS X n'affiche pas les extensions de fichiers ni les miniatures des images, de sorte que l'utilisateur y accède pour les voir.
Le malware installe une porte dérobée dans /tmp/.mdworker, ainsi que d'autres fichiers dans ce répertoire. Un processus appelé .mdworker se lance alors ; le processus mdworker (pas l'absence du . avant le nom) est un processus utilisé par Spotlight pour indexer les fichiers. Un fichier launchagent est également installé dans ~/library/LaunchAgents/checkvir.plist, avec un exécutable dans le même dossier, garantissant que le logiciel malveillant se lance lorsque l'utilisateur se connecte à son Mac ou le démarre. Après un redémarrage, le processus .mdworker est supprimé et l'exécutable checkvir se lance. Ce malware recherche les données utilisateur et tente de les télécharger sur un serveur. Il prend également des captures d'écran et les envoie au serveur. Il crée un identifiant unique pour le Mac spécifique afin de pouvoir lier le Mac et les données qu'il collecte. Nous avons vu que ce malware est actif, car il se connecte à un serveur distant et télécharge de nouveaux exécutables.
Après l'accès, le malware ouvre un processus, appelé .mdworker, sous Mac et au redémarrage ouvrez un fichier précédemment copié dans ~/library/LaunchAgents/checkvir.plist. Si vous avez été infecté par ce malware, les informations collectées sur l'ensemble du système d'exploitation ainsi que des captures d'écran de l'écran du Mac seront envoyées de votre Mac aux serveurs des pirates, afin que les pirates puissent découvrir tout ce que vous faites sans trop d'effort. Pour vous protéger, assurez-vous d'avoir activé l'option d'affichage des extensions de fichiers dans Finder>Préférences>Afficher toutes les extensions de nom de fichier.
