Le tout premier trojan (backdoor multiplateforme) volant les mots de passe ciblant Mac OS X et Linux, c'est fait !
Ce n'est pas la première fois (mais marginal encore) que Mac OS X est la cible de malware mais en ce qui concerne la plate-forme Linux le phénomène est plutôt exceptionnel et rare pour autant que les sociétés de sécurité ne travaillent pas que sous Windows, qu'ils détectent les problèmes sur la plate-forme Open Source et qu'ils fasse remonter l'information. Selon Le Monde Informatique, les détails sur le mode opératoire de Wirenet.1 et sa technique de propagation sont rares, mais Dr Web indique que le programme qui utilise des portes dérobées et cible les mots de passe des navigateurs Opera, Firefox, Chrome, Chromium, et des applications comme Thunderbird, SeaMonkey, ou encore Pidgin. À priori, au moment de son lancement, BackDoor.Wirenet.1 sauvegarde une copie dans le dossier « Mes documents » de l'utilisateur en cours. Pour interagir avec le serveur distant 212.7.208.65, le programme malveillant utilise l’algorithme Advanced Encryption Standard (AES).
Y a t-il une parade ?
Sous Linux, le Trojan s'autoduplique dans le répertoire ~ /WIFIADAPT avant de tenter de se connecter au serveur distant.
Sous MacOS, tout se passe dans le dossier %home%/WIFIADAPT.app.app
Il semblerait que supprimer ces dossiers permettrait de bloquer la communication et tout autre échange de données avec le serveur.
Le malware multiplateforme est rare, en règle générale lorsque des ordinateurs sont ciblés en masse et toute plateforme, la méthode d'intrusion consiste à se brancher sur Java pour piéger des victimes. Les radars des entreprises de sécurité vont devoir désormais élargir le spectre de leurs recherches au delà de Microsoft Windows.
Source : Le Monde Informatique, Dr Web.