Mac Attack : cheval de Troie publicitaire via Safari, Chrome, Firefox

Un nouveau cheval de Troie pour OS X a été repéré. Pour Doctor Web, cette trouvaille s'inscrit dans une tendance observée depuis le début de l'année. La propagation de malwares publicitaires qui affectionnent les ordinateurs équipés du système d'exploitation d'Apple.

Le spécimen est dénommé Yontoo. Il est par exemple diffusé via des pages Web spécialement conçues qui font miroiter la consultation d'un film. Mais pour cela, il est nécessaire d'installer un soi-disant plugin pour navigateur.

Lorsque l'utilisateur clique sur un bouton d'installation du plugin, il est redirigé vers un site où le cheval de Troie est téléchargé. Une fois exécuté, il génère une boîte de dialogue pour l'installation de Free Twit Tube puis c'est un plugin pour Safari, Chrome et Firefox qui est téléchargé.

Ce plugin transmet des informations sur les pages consultées par l'utilisateur afin d'y intégrer du code tiers et afficher des publicités frauduleuses. Doctor Web donne l'exemple du site Apple.com sur un ordinateur Mac infecté :

Les cybercriminels tirent des bénéfices lorsque des utilisateurs consultent ou cliquent sur les publicités qui proviennent de réseaux publicitaires affiliés. Une telle mécanique a déjà eu lieu par le passé pour des ordinateurs sous Windows.

L'éditeur russe Doctor Web avait fait parler de lui en découvrant l'année dernière le cheval de Troie Flashback qui ciblait les ordinateurs Mac. Apple avait alors été critiqué pour avoir tardé à combler une vulnérabilité Java préalablement corrigée par Oracle.