Les chercheurs en sécurité de Bitdefender donnent l'alerte au sujet d'un malware pour Mac. Dénommé Eleanor, il se cache à l'intérieur d'une application malveillante EasyDoc Converter qui est disponible sur des sites de téléchargement de logiciels Mac.

EasyDoc-Converter Par glisser-déposer, l'application est censée convertir des documents au format .docx (Microsoft Word). Elle n'a en réalité aucune fonction si ce n'est de télécharger un script malveillant pour installer et enregistrer trois composants au démarrage d'OS X dans un répertoire /Users/$USER/Library/.dropbox. Un répertoire qui n'a rien à voir avec Dropbox.

Les trois composants sont un service Tor caché, un service Web (PHP) et un agent logiciel. Chaque système infecté a une adresse unique sur le réseau d'anonymisation Tor. Toutes les adresses sont stockées sur le site Pastebin en utilisant l'agent logiciel.

Pour un malware, la communication avec des serveurs de contrôle et commande à travers le réseau Tor permet de dissimuler les traces des attaquants et éviter un démantèlement de l'infrastructure utilisée.

Bitdefender indique que Eleanor ouvre une backdoor sur un système infecté et dispose ainsi d'un accès complet. Il est par exemple possible d'accéder au système de fichiers, à la webcam, de télécharger des indésirables. Du cyberespionnage et plus encore.

Cela semble terrible à ceci près que l'application EasyDoc Converter n'est pas signée numériquement avec un certificat publié par Apple. Par défaut, OS X n'ouvrira donc pas une telle application. Par contre, si l'utilisateur pris pour cible s'obstine et passe outre la protection, Apple ne pourra de fait pas révoquer un certificat pour se débarrasser de l'application.

Un peu plus tôt cette année, il avait été repéré le premier ransomware fonctionnel sur OS X avec KeRanger.