Un groupe de pirates informatiques connus pour avoir été les architectes de diverses attaques dans le passé contre la base industrielle de défense américaine., ainsi que d'autres entreprises importantes du secteur, a récemment commencé à utiliser un programme qui comprend une porte dérobée pour attaquer les systèmes sous OS X.
Les chercheurs en sécurité FireEye ont déjà commenté sur un blog jeudi que le code de la porte dérobée a été porté sur OS X depuis une porte dérobée Windows qui a été largement utilisée dans des attaques ciblées au cours des dernières années, après avoir été mise à jour plusieurs fois au cours du processus.
Le programme malveillant est baptisé XSLCmd et est capable d'ouvrir un shell inversé pour le contrôle et le transfert de fichiers, ainsi que l'installation d'autres programmes malveillants sur l'ordinateur infecté. La variante OS X peut également s'inscrire frappes et captures d'écran, selon les chercheurs de FireEye.
Lorsqu'il est installé sur un Mac, ce malware s'installe dans »/ Library / Logs / clipboardd» et »HOME / Library / LaunchAgents / clipboardd«. Il crée également un fichier com.apple.service.clipboardd.plist pour s'assurer qu'il s'exécute après le redémarrage du système. Le malware contient du code qui vérifie la version d'OS X, mais pas les versions supérieures à OS X 10.8 (Mountain Lion). Cela suggère que la version 10.8 était soit la dernière version d'OS X lorsque le programme a été écrit, soit du moins la plus courante utilisée aux fins prévues.
La porte dérobée XSLCmd a été créée et utilisée par un groupe de cyberespionnage qui a été en activité depuis au moins 2009 et a été surnommé GREF par les chercheurs de FireEye. «Historiquement, le GREF a dirigé un large éventail d'organisations, notamment la base industrielle de défense des États-Unis (DIB), des sociétés d'électronique et d'ingénierie dans le monde entier, ainsi que des fondations et d'autres organisations non gouvernementales, en particulier celles qui ont des intérêts en Asie.» .
Selon FireEye:
OS X est devenu populaire auprès des entreprises, les utilisateurs inexpérimentés s'adaptant rapidement au nouveau système et le trouvant facile à utiliser, même les utilisateurs de haute technologie utilisant des fonctionnalités plus puissantes, ainsi que les cadres […] Beaucoup de gens le considèrent également comme un plus plate-forme informatique sécurisée, ce qui peut conduire à un dangereux sentiment de complaisance dans les deux services informatiques. En fait, alors que l'industrie de la sécurité a commencé à proposer plus de produits pour les systèmes OS X, ces systèmes sont parfois moins réglementés et supervisés dans les environnements d'entreprise que leurs homologues Windows.
