Crisis, un malware qui cible Windows, Mac OS X et les machines virtuelles VMware
Le malware Crisis pourrait bien être le premier d’un nouveau type de virus qui, outre le fait de cibler les environnements Mac OS X et PC, vise également les machines virtuelles et les smartphones Windows Phone. Signe d’une évolution technologique des auteurs de virus ?
Lors de la première découverte de Crisis, le mois dernier, les spécialistes de la sécurité s’accordaient sur le fait qu’il s’agissait là d’un malware conçu pour cibler à la fois les systèmes Windows et Mac. Mais, finalement, ce n’était que le commencement.
Les chercheurs de l’éditeur Symantec affirment aujourd’hui avoir découvert que Crisis peut également s’immiscer dans les terminaux Windows Phone ainsi que dans les machines virtuelles VMware. Et selon eux, il serait le premier malware de ce type à cibler les VM de cette façon. Un signe potentiel d’une sophistication grandissante chez les développeurs de virus.
Crisis a été repéré pour la première fois par Intego, un éditeur français de solutions de sécurité pour la plate-forme Apple, en juillet. Il cible les utilisateurs Apple et Windows et installe une backdoor qui enregistre les faits et gestes des internautes et leur arrache leurs données confidentielles.
Dans un billet publié cette semaine sur son blog Security Response, Symantec affirme que la déclinaison Windows de Crisis utilise trois méthodes :
«La première, Il se copie, avec un fichier autorun.inf, sur un disque amovible. La seconde consiste à se faufiler dans une machine virtuelle VMware et la dernière est de déposer des modules sur un terminal Windows Phone.»
Le malware recherche une image de machine virtuelle sur un poste infecté, monte l’image et se copie sur l’image en question via l’outil VMware Player, raconte Takashi Katsuki, un ingénieur qui travaille au Symantec Security Response. «Il n’exploite pas à proprement parler une vulnérabilité de l’application VMware, poursuit-il. Mais une caractéristique commune à tous les logiciels de virtualisation : une machine virtuelle est un simple fichier ou une série de fichiers installés sur le disque d’une machine hôte. Ces fichiers peuvent être directement manipulés ou montés, même si la machine virtuelle n’est pas active, comme dans l’exemple précédent.»
«Il se peut que ce soit le premier malware qui essaie de s’infiltrer dans une machine virtuelle, écrit-t-il. Généralement les attaques s’arrêtent aux portes de l’application de monitoring de VM, comme VMware, pour ne pas être analysées. Crisis pourrait bien ainsi être le symbole de l’avancée technologique des auteurs de malware.»
Traduit de l’anglais par la rédaction