Un nouveau malware espionne les utilisateurs sous macOS

Baptisé « OSX/MaMi », ce code malveillant est capable de déchiffrer et intercepter tous les échanges Internet. Il peut également installer d’autres logiciels à volonté. 

L’année 2018 ne donnera aucun répit aux utilisateurs sous macOS. Le chercheur en sécurité Patrick Wardle vient de mettre la main sur « OSX/MaMi », un malware plutôt méchant qui traine actuellement sur la Toile. Un exemple d’infection a notamment été mentionné sur le forum de l’éditeur MalwareBytes.

Le code malveillant est un exécutable 64-bit probablement diffusé par l’intermédiaire d’email ou de sites piégés. Une fois installé sur la machine, il modifie les paramètres DNS de l’ordinateur et installe un certificat racine bidon, ce qui permet à l’attaquant de déchiffrer et intercepter tous les échanges Internet de la victime. Bonjour les dégâts! 

L’analyse du code décompilé révèle également d’autres fonctionnalités peu sympathiques comme la capture d’écran, la simulation de clics de souris, l’exécution de commandes ou le téléchargement et l’exécution de fichiers. Bref, ce malware est capable de prendre le contrôle total de votre ordinateur.

Il faut le désinstaller à la main

La mauvaise nouvelle, c’est qu’il n’est pour l’instant détecté par aucun moteur antivirus. La seule manière de savoir si l’on est infecté, c’est d’aller contrôler soi-même les paramètres DNS et les certificats du système. Pour cela, il faut aller dans « Paramètre Système -> Réseau -> Avancé…-> DNS ». Si vous voyez les adresses IP « 82.163.143.135 » et « 82.163.142.137 », c’est que vous avez un problème. Pour vérifier le certificat, il faut aller dans « Trousseaux d’accès » et sélectionner le trousseau « Système ». La présence d’un certificat intitulé « cloudguard.me » confirmera que vous êtes dans de mauvais draps. 

Pour se débarrasser de l’intrus, Patrick Wardle recommande dans premier temps de supprimer les adresses DNS et le certificat malveillants. Si cela ne suffit pas, il faut réinstaller le système. A moyen terme, les antivirus devraient être capable de détecter et supprimer ce logiciel. A noter que l’auteur de « OSX/MaMi » n’est visiblement pas à son coup d’essai. Il semblerait que ce code soit une réécriture d’un malware similaire sous Windows connu sous le nom de « DNSUnlocker ».