Une nouvelle variante du malware OSX.Proton est diffusée via un faux blog de Symantec

Une série de tweets publiée le 20 Novembre par un chercheur en sécurité a révélé une nouvelle variante du malware OSX.Proton, conçu pour voler les identifiants de connexion des machines Mac. Ce malware serait diffusé au travers d'un faux blog de Symantec.

Scénario de propagation:

Ce malware est promu via un faux site copiant le blog de Symantec, qui a publié un article contenant des informations imaginaires concernant une nouvelle variante du malware CoinThief. Ce site fait aussi la promotion d’un programme fictif appelé « Symantec Malware Detector » sensé détecter et supprimer le malware.

Les liens vers le faux article ont été répandus sur Twitter au travers de faux comptes ainsi que par des comptes légitimes ayant cru à la véracité de l'article.

Scénario d’infection:

L’exécution de l’application « Symantec Malware Detector » affiche une fenêtre simple contenant le logo de Symantec. A ce stade, si l’utilisateur ne valide pas l’exécution du programme, celui-ci ne s’installe pas. C'est en cliquant sur le bouton « check » et en fournissant le mot de passe administrateur que le malware Proton se retrouve installé.

Le logiciel malveillant commence à capturer des informations, y compris le mot de passe de l'utilisateur et d'autres informations personnelles et les enregistre dans un fichier caché. Il est également capable d’extraire les fichiers de trousseaux d’accès et de mots de passe (keychain pour MAC) et de les déchiffrer.

Indicateurs de compromission :

L'application « Symantec Malware Detector » porte un nom fictif. Si une telle application est identifiée, dans le dossier Téléchargements ou le dossier Applications, elle doit être supprimée.

Pour s’assurer que l’application est effectivement malveillante, la signature du code peut être vérifiée en utilisant la commande : « codesign -dvvv "chemin/vers/Symantec Malware Detector.app" ». L'application malveillante a été signée par une personne nommée Sverre Huseby, en utilisant un certificat avec l'identifiant E224M7K47W. Il est recommandé de considérer tout ce qui sera signé avec ce certificat comme malveillant à l'avenir.    

Une fois cette application malveillante exécutée, les chemins suivants pourront être trouvés sur le système:

  • /Library/LaunchAgents/com.apple.xpcd.plist

  • /Library/.cachedir/

  • /Bibliothèque/.random/

Le répertoire .random contient l'exécutable malveillant de Proton, qui est exécuté par l'agent «com.apple.xpcd.plist» au démarrage. Le dossier «.cachedir » contient des données qui ont été ou seront exfiltrées vers le serveur de contrôle du malware.

Apple est au courant de l'existence de ce malware et a d'ores et déjà révoqué le certificat utilisé pour signer le malware. Cela permettra d'éviter de futures infections par « Symantec Malware Detector ». La révocation du certificat ne fera cependant rien pour protéger une machine déjà infectée. L’outil Malwarebytes for Mac est capable de détecter et de supprimer le malware Proton facilement et gratuitement.