Le 22 juin 2015

Depuis un certain temps, les publications de rapports faisant état de nouveaux programmes malveillants et potentiellement dangereux ciblant OS X ont augmenté. Les chercheurs de Doctor Web ont enregistré un nombre croissant d’adwares et de programmes d’installation ciblant OS X, ce qui est lié, dans une large mesure, à l’apparition de nouveaux « programmes partenaires », permettant de diffuser des publicités, visant les utilisateurs de Mac OS X. L’un de ces programmes a permis aux cybercriminels de distribuer les trojans de la famille Trojan.Crossrider.

Un programme d’installation d’applications non désirées ajouté à la base de Dr.Web sous le nom Adware.Mac.MacInst.1 a été créé en utilisant les ressources d’un programme d’affiliation appelé “macdownloadpro.com”. Les sites web de nombreux « partenaires » de ce programme regorgent de différents modules publicitaires et la visite de ces pages web entraîne l’ouverture de nombreux pop-up dans le navigateur. Le programme d’installation proprement dit est masqué derrière une application « utile » ou un fichier MP3. Dans certains cas, il est téléchargé automatiquement pendant que l’utilisateur est redirigé vers une page web spécifique.

L’image de l’Adware.Mac.MacInst.1 possède une structure particulière : elle contient deux fichiers masqués qui ne peuvent être vus avec les paramètres standards de l’OS si l’utilisateur choisit de parcourir les contenus du fichier DMG en utilisant le Finder.

Le répertoire de l’application contient un fichier binaire qui lance le programme d’installation et un autre dossier contenant le logo de l’application et le fichier de configuration chiffré. Lorsque le programme d’installation est lancé, il affiche une fenêtre de dialogue donnant de l’information sur le fichier que souhaitait télécharger l’utilisateur.

Une fois le bouton « Suivant » cliqué, le malware affiche un contrat de partenariat informant l’utilisateur qu’en plus du fichier souhaité, d’autres composants seront installés.

Si l’utilisateur clique sur le lien “Refuser” en bas à gauche de la fenêtre, seul le fichier initialement choisi sera téléchargé. Néanmoins, si l’utilisateur clique ensuite sur « Suivant », le programme, détecté par Dr.Web comme Trojan.Vindinstaller.3 , sera téléchargé et lancé en plus du fichier.

Cette application installe à son tour des plug-in malveillants pour Safari, Firefox et Chrome. Ces extensions sont détectées comme des trojans appartenant à la famille Trojan.Crossrider. copie tous les composants téléchargés dans le dossier “~/Library/Application Support/osxDownloader”.Adware.Mac.MacInst.1.

Les signatures de ces programmes malveillants ont été ajoutées aux bases Dr.Web pour OS X et nos utilisateurs sont protégés.