Une nouvelle variante du trojan Flashback a vu le jour et est capable de s'installer sur un Mac quand un utilisateur visite un site web spécialement conçu.

Dans un rapport, un spécialiste en sécurité de F-Secure affirme que le malware, appelé OSX/Flashback.K, exploite une vulnérabilité connue de Java SE 6 (CVE-2012-0507). Celle-ci a été corrigée dans les versions Windows de Java SE (6 Update 31 et 7 Update 3) en Février mais la mise à jour officielle de Java chez Apple est basée sur Java SE 6 Update 29 et date de Novembre 2011.

Les utilisateurs de Mac peuvent se protéger de ce trojan, qui est capable de télécharger du code sur le web et modifier la façon dont certains sites web sont affichés, en désactivant Java via l'outil des Préférences Java. Selon F-Secure, OSX/Flashback.K demande un moment donné à l'utilisateur d'entrer le mot de passe administrateur au cours du processus d'installation mais tente de s'installer même si l'utilisateur refuse de l'entrer. F-Secure fournit également des instructions, que je vous conseille de suivre, pour savoir si cette infection est présente sur votre ordinateur.

Un trojan appelé Mediyes est actuellement en circulation en Allemagne. Comme rapporté par Kaspersky, la chose inhabituelle avec ce trojan c'est qu'il a été signé avec une clé valide privée qui appartient à la société Suisse Conpavi AG. Conpavi se présente comme un cabinet de conseil pour des projets de e-gouvernance comme pour la ville de Lucerne par exemple.

Kaspersky dit qu'il a repéré plusieurs versions de ce trojan et toutes ont été signées par Conpavi entre Décembre 2011 et Mars 2012. Ceci suggère que les pirates ont eu accès à la clé privée de l'entreprise sur une période de temps assez prolongée. Cette clé privée a été délivrée par l'autorité de certification VeriSign (VeriSign Certificate Authority) qui est considérée comme digne de confiance par la plupart des systèmes d'exploitation.

Répartition géographique de Mediyes

Sur un système infecté, ce malware va faire un tour dans le navigateur de la victime pour intercepter les requêtes invisibles des moteurs de recherche pour ensuite les transmettre au serveur d'un réseau de publicité. Kaspersky dit que ce serveur est situé en Allemagne et répond en envoyant des liens du programme partenaire Search123. Mediyes visite automatiquement ces liens pour générer des revenus aux pirates.

Comme les pirates ont réussi à signer le malware avec la clé privée de la société Suisse, tout reste à démontrer. Conpavi AG n'a d'ailleurs fait aucun commentaire à ce sujet. Ils ont seulement dit que personne n'était disponible pour le moment et qu'il faudrait essayer de les contacter à nouveau dans trois/quatre semaines...

Kaspersky a déjà contacté VerySign de sorte que la clé soit invalidée et placée sur la liste noire. C'est bien mais le facteur crucial lorsqu'une clé est invalidée, c'est que la date de révocation correcte doit être saisie pour s'assurer que les certificats qui ont été créés avec cette clé privée dans le passé soient invalidés rétroactivement.

Mediyes n'est pas un cas isolé, de plus en plus de compagnies d'antivirus doivent lutter contre des malwares signés avec un certificat valide. Par exemple il y a deux ans de cela, F-Secure avait annoncé qu'il avait identifié 24.000 malwares signés numériquement. L'exemple le plus frappant est Stuxnet qui a été développé pour une attaque ciblée sur une installation d'enrichissement d'uranium en Iran.