Calisto : un trojan visant macOS développé en 2016, débusqué par des chercheurs en sécurité

Des chercheurs en sécurité ont récemment découvert qu'un logiciel malveillant nommé Calisto infectait certains ordinateurs sous macOS.

Datant de 2016, et ayant certainement servi de base au trojan Proton, Calisto est un cheval de Troie prenant la forme d'un DMG non signé, de la suite Intego Security X9 d'Intego. Cet indice laisse penser qu'il a été créé pour infecter les personnes qui auraient été tentées d'installer ce logiciel, en passant par des moyens détournés, plus ou moins légaux.

Après avoir demandé aux utilisateurs d'accepter un accord, le malware réclame ensuite les informations d'identification, puis, une fois ces dernières saisies, un message d'erreur apparait, évoquant une installation qui se serait mal déroulée. En faisant cela, le logiciel malveillant acquiert les informations de connexion de l'utilisateur, qu'il peut ensuite utiliser pour effectuer d'autres actions.

En créant un répertoire caché, le logiciel malveillant peut ensuite accéder librement au trousseau, et acquérir des mots de passe, des jetons stockés par l'utilisateur, ainsi que des données d'historique et de signets, et collecter des informations sur les réseaux connectés à la machine incriminée.

Toutefois, le logiciel nécessite d'avoir au préalable désactivé le SIP -pour System Integrity Protection- de macOS, introduit avec El Capitan, afin de le protéger d'attaques critiques. Dès lors, de nombreux utilisateurs sont restés à l'abri du malware, cependant, certains possesseurs de MacBook Pro pourraient involontairement être en danger, en raison d'un SIP désactivé d'origine.

En effet, en novembre 2016, il a été révélé que certains modèles de MacBook Pro avec Touch Bar étaient livrés avec le système de protection inactif, un problème qu'Apple a ensuite résolu via une mise à jour logicielle, mais qui aurait tout de même pu laisser le champ libre au malware.

Source