Mais comme les éditeurs de solutions antivirus sensibilisent les utilisateurs aux menaces sous Mac OS X et proposent de plus en plus des protections grand public, le contexte est plutôt propice pour les cybercriminels.
Le malware en question s'appelle MAC Defender. La promotion de ce faux antivirus est assurée par empoisonnement SEO dans les résultats des moteurs de recherche ( comme pour les liens malveillants relatifs à la mort d'Oussama Ben Laden ). En cliquant sur un lien malveillant, une fausse fenêtre fait croire à l'utilisateur qu'un virus a été détecté.
Déjà cette fenêtre doit suffire à éveiller les soupçons de l'utilisateur Mac. Elle est en effet affichée dans un style Windows. Cela vient du fait que les utilisateurs Windows sont aussi pris dans cette attaque mais avec un exécutable dédié qui leur est proposé par la suite.
Un code JavaScript télécharge automatiquement un fichier zip ( BestMacAntivirus2011.mpkg.zip par exemple ) afin d'installer MAC Defender. Tout dépend alors de la configuration de la machine prise pour cible ( navigateur qui ouvre automatiquement les téléchargements ) et du degré de crédulité de l'utilisateur, puisque l'installation de MAC Defender ne se fera qu'avec l'interaction de ce dernier.
MAC Defender affirme alors détecter des virus et ouvre des fenêtres de navigation sur des sites pornographiques. Il se lance au démarrage du système d'exploitation. Pour procéder à la désinfection préconisée, il faut s'enregistrer ( ce qui suffit à faire cesser les alertes et prouve bien que tout tient du faux ) et passer commande d'une licence en livrant au passage des informations sensibles de paiement.
