Découvert par le Danois CSIS, le « crimekit » baptisé Weyland-Yutani BOT est un générateur de malware visant précisément OS X et qui dépasserait, de loin affirment les spécialistes de CSIS, le simple stade de « preuve de faisabilité ». Ce serait donc le premier vecteur d’attaque de ce type visant les plateformes Apple. Parmi les caractéristiques importantes de cette usine à virus, il serait possible d’exploiter des fonctions de capture de formulaire sous Firefox et Chrome, Safari devant être prochainement intégré dans la liste. Ce qui, raconté d’une toute autre manière, veut dire qu’il est possible de piéger une page Web pour en extraire des crédences de connexion. Une vidéo de démonstration postée sur YouTube par Brian Krebs montrerait que tout ceci paraît fonctionner efficacement. Si c’est un « fake », c’est là un « fake » très bien monté. Le prix de l’application pour les apprentis bot-herders canal Mac historique est de 1000$ payable via Liberty Reserve ou Webmoney, précisent les chercheurs Danois.
L’affaire a immédiatement fait le tour des rédactions. Le papier le plus documenté et le plus précis est celui de Krebs. Le Sans publie coup sur coup deux billets, l’un sur la découverte du kit, l’autre sur le mode de diffusion de ses « œuvres » qui se propagent sous la forme d’un scareware, ou faux antivirus (finement baptisé MacDefender).
SearchSecurity reprend l’information, en débutant l’article par un argument pouvant légèrement prêter à confusion : la « visibilité » du Macintosh a grandi grâce au succès d’appareils tels que l’iPhone ou l’iPad, ce qui aurait incité les auteurs de malwares à s’intéresser aux utilisateurs de Mac. Si cela avait été le cas, le kit aurait plutôt ciblé les noyaux IOS. Reste que ces outils de mobilité sont plus difficiles à atteindre qu’un ordinateur constamment connecté à un réseau haut débit. De tous les appareils sous IOS, seul l’Apple TV pourrait à la rigueur correspondre à cette définition. Et l’ATV2 est un marché très « limité ».
Il est plus probable que le développement du Weyland-Yutani BOT ait été motivé précisément parce qu’Apple a dogmatiquement endoctriné une partie de sa clientèle en la persuadant qu’il n’existait aucun virus capable de s’attaquer à la plateforme OS X, rendant ainsi l’usage d’un antivirus totalement inutile. Paradoxalement, c’est via de faux-antivirus que se propagent les enfants de Weyland- Yutani. Depuis le temps que les cassandre de la sécurité prédisent une infection coordonnée d’OS X, elle a fini par arriver. Cela ne sonne ni la fin du monde, ni la fin du Mac.
Détail intéressant, selon Fabio Assolini (Kaspersky), ce sont parfois des serveurs situés sous un même domaine qui diffusent à la fois les faux Mac Defenders et les spam liés à la mort d’Ossama Ben Laden. Spam (via mail ou mini-url sur Facebook) conduisant l’internaute sur un site de phishing.
