Au sujet du malware Backdoor.OSX.SabPub.a, qui vise les Mac sous OS X, les experts de Kaspersky Lab indiquant que le mode d'attaque de SabPub est de type ATP : « Advanced Persistent Threat » (l'outil de diagnostic en ligne d'Amsys permet de détecter et de supprimer la menace). Le communiqué publié par Kaspersky indique aussi que « contrairement au Cheval de Troie Flashfake, qui a mis en évidence un risque potentiel dans un environnement Mac OS X non protégé, le nouveau malware permet de voir comment un ordinateur Mac vulnérable peut être entièrement contrôlé par des cybercriminels ».

SabPub a été repéré par les chercheurs de Kaspersky Lab au début du mois d'avril 2012 (cf son site securelist.com). Il ressemble à Flashfake, également connu sous le nom Flashback, et met à profit certaines vulnérabilités de la machine virtuelle Java (JVM). Mais le nombre d'ordinateurs qu'il a infectés est relativement faible, ce qui semble également conforter l'hypothèse qu'il est surtout utilisé pour des attaques ciblées. Après son activation sur un système infecté, Backdoor.OSX.SabPub.a se connecte à un site distant pour demander ses instructions. Le serveur de commandement et de contrôle (C&C), hébergé aux États-Unis, utilisait un service de DNS dynamique gratuit pour acheminer les requêtes des ordinateurs compromis.

Une attaque suivie en temps réel qui révèle une procédure manuelle

Des événements postérieurs ont confirmé l'analyse initiale des experts de Kaspersky Lab qui estimaient que SabPub était essentiellement utilisé dans des attaques ciblées. Les chercheurs ont utilisé un ordinateur infecté par le malware comme appât et, le 15 avril, ils ont remarqué une activité inhabituelle sur leur machine. Les assaillants avaient pris le contrôle du système et avaient commencé à scanner son contenu. Ils ont ensuite envoyé des commandes pour afficher les fichiers des dossiers racines et ceux résidant sur la machine. Ils ont même téléchargé quelques faux documents stockés dans le système. Très probablement, l'analyse a été réalisée manuellement, et non par le biais d'un système automatisé, une modalité rare et peu courante pour les malwares de masse. Selon les experts, le mode d'action qu'ils ont pu décortiqué en temps réel est celui d'un logiciel clandestin menant une attaque APT.

Au cours de l'analyse du malware, les experts ont appris plus précisément comment fonctionnait une attaque ciblée utilisant un vecteur d'infection. Les chercheurs de Kaspersky Lab ont trouvé six documents Microsoft Word, qui le contenaient tous. Deux d'entre eux étaient chargés de larguer SabPub dans le système de la machine. L'ouverture d'un des quatre autres documents sur un système vulnérable conduisait à l'infection par un autre malware spécifique au Mac. Le contenu de l'un des documents liés à SabPub incluait des références directes à la communauté tibétaine. Au même moment, ils ont pu faire le lien évident entre SabPub et une autre attaque visant des machines sous Windows, et connue sous le nom de LuckyCat. Ces activités criminelles émanaient toutes de la même source.

Chargés d'attaquer spécifiquement certains ordinateurs ?

Alexandre Gostev, expert et chef de la sécurité chez Kaspersky Lab, a expliqué que « Le 'backdoor' SabPub révèle encore une fois qu'aucun environnement logiciel n'est à l'abri d'une attaque. Le nombre relativement faible de malwares sous Mac OS X ne signifie pas que les utilisateurs bénéficient d'une meilleure protection. Des incidents récents comme Flashfake et SabPub indiquent que les données personnelles des utilisateurs sous Mac n'ayant pas protégé leur système sont également vulnérables, soit parce que les cybercriminels s'intéressent davantage à ces machines, de plus en plus nombreuses sur le marché, soit parce qu'ils sont simplement payés pour attaquer spécifiquement les ordinateurs Apple ».

Le malware Backdoor.OSX.SabPub.a et ses vecteurs d'attaque sont détectés et éradiqués par l'antivirus 2011 Kaspersky pour Mac. On peut trouver plus de détails sur le logiciel backdoor dans différentes communications publiées sur le sujet par Securelist.com.