Le 3 mars 2016

Les programmes malveillants ciblant les ordinateurs Apple restent moins répandus que les Trojans attaquant Windows et Android, néanmoins, l’OS attire aussi les cybercriminels. La plupart des programmes malveillants capables de fonctionner sous OS X sont conçus pour l'affichage de publicités non autorisé dans la fenêtre du navigateur. Les nouveaux Trojans de la famille Mac.Trojan.VSearch détectés au mois de mars par les analystes de Doctor Web ne font pas exception.

Une attaque menée par des Trojans de la famille Mac.Trojan.VSearch contre un ordinateur Apple commence avec l'installateur d'applications détecté par Dr.Web Antivirus comme Mac.Trojan.VSearch.2. Il est propagé sous couvert de différents utilitaires et programmes, par exemple, Nice Player. L'utilisateur peut le télécharger depuis différents sites web proposant des logiciels gratuits pour OS X.

Immédiatement après le lancement de l'installateur, sa fenêtre affiche le mot de bienvenue traditionnel. En cliquant sur le bouton Continuer, Mac.Trojan.VSearch.2 doit afficher à l'utilisateur une liste des composants à installer en plus de l'application qu'il a souhaité obtenir dès le début. Dans cette liste, l'utilisateur devrait normalement avoir la possibilité de sélectionner les modules voulus, mais en réalité ce n'est pas le cas : l'installateur affiche pendant très peu de temps cette page avec toutes les cases cochées et passe immédiatement à la fenêtre proposant d'indiquer le dossier d'installation. L’utilisateur ne peut pas revenir à la page précédente. C’est donc comme s’il avait sélectionné tous les modules proposés.. Parmi les composants installés par Mac.Trojan.VSearch.2 sur l'ordinateur contaminé, ont été détectés le Trojan Mac.Trojan.VSearch.4 ainsi que de nombreux autres programmes dangereux et indésirables, notamment MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) et Mac.Trojan.Conduit

Après son installation sur l'ordinateur contaminé, Mac.Trojan.VSearch.4 se connecte au serveur des pirates depuis lequel il télécharge un script spécialisé qui remplace dans les paramètres du navigateur le moteur de recherche par défaut par le serveur Trovi. En utilisant ce script, le Trojan peut télécharger et installer sur le Mac contaminé un plug-in de recherche pour les navigateurs Safari, Chrome et Firefox, qui est détecté par Dr.Web Antivirus comme une application indésirable Program.Mac.Unwanted.BrowserEnhancer.1. Et enfin, ce programme malveillant télécharge et installe dans le système le Trojan Mac.Trojan.VSearch.7.

Une fois sur l'ordinateur contaminé, Mac.Trojan.VSearch.7 créé en premier lieu un nouvel utilisateur (qui n'apparaît pas sur l'écran de bienvenue d'OS X) dans le système d'exploitation et lance un serveur proxy spécialisé grâce auquel il intègre à toutes les pages ouvertes dans la fenêtre du navigateur un scénario JavaScript affichant des bannières publicitaires. Outre cela, le scénario malveillant recueille les demandes des utilisateurs à plusieurs moteurs de recherche les plus populaires.

Les spécialistes de Doctor Web ont pu constater que les serveurs pirates ont reçu 1 735 730 demandes de téléchargement des programmes malveillants, 478 099 adresses IP uniques d’ordinateurs accédant à ces serveurs ont été détectées. Ce chiffre permet d'estimer l'envergure de la menace. Tous les représentants de la famille Mac.Trojan.VSearch sont détectés avec succès par Dr.Web Antivirus pour OS X et ne représentent donc aucun risque pour nos utilisateurs.

Plus d'infos sur les Trojans