Diffusion d'un nouveau malware macOS via les résultats de recherche Google

Temps de lecture estimé : 3 minutes

Dernière mise à jour : le 13/07/2020

La société de cybersécurité Intego (dont nous vous avions présenté les solutions anti virus pour Mac dans un précédent article) a récemment découvert un nouveau logiciel malveillant qui se déguise en Flash Player (un composant qui était très utilisé dans les années 2000 pour animer les sites web). Ce nouveau malware incite ses victimes à contourner les protections de sécurité intégrées d'Apple pour MacOS, et il utilise des tactiques ingénieuses pour échapper à la détection des antivirus.

Découvrez la solution anti-virus complète d'Intego pour Mac

Que fait ce nouveau logiciel malveillant ? En quoi est-il unique ?

Comme c'est souvent le cas pour les logiciels malveillants pour Mac, ce nouveau logiciel malveillant Shlayer est diffusé sous la forme d'une application de type cheval de Troie intégrée à une image de disque .dmg, se faisant passer pour un programme d'installation d'Adobe Flash Player.

Installateur du malware déguisé en Flash Player pour macOS

Après le téléchargement et l'ouverture de l'installateur trompeur de Flash Player sur le Mac d'une victime, l'image disque se monte et affiche des instructions sur la façon de l'installer. L'installateur donne ainsi les instructions pour contourner les barrières de sécurité qu'Apple a mis en place pour éviter justement qu'un programme malveillant ne puisse s'installer en bernant l'utilisateur.

Comment se propage ce malware ?

Ce malware se propage via des sites qui paraissent légitimes puisqu'ils apparaissent dans les résultats de recherche du moteur de recherche le plus populaire, Google. Par exemple, en saisissant le titre exact d'une vidéo YouTube : l'équipe de recherche d'Intego a rencontré des résultats de recherche Google qui, lorsqu'on clique dessus, passent par plusieurs sites de redirection et aboutissent à une page qui prétend que le Flash Player du visiteur est obsolète. Au final, des avertissements trompeurs et de fausses boîtes de dialogue sont affichées pour inciter la victime à télécharger une mise à jour supposée du Flash Player  qui est, en fait, un cheval de Troie.

une fausse mise à jour de Flash Player qui est en fait un cheval de Troie

Nous avions déjà vu que d'autres virus et malwares se faisaient passer pour une mise à jour de Flash afin de contaminer ses victimes. Les ordinateurs sous Windows étaient d'habitude la cible privilégiée des pirates mais les Mac ne sont désormais pas non plus à l'abri des cybermenaces.

Google ne peut-il pas bloquer ce malware ?

Bien que, dans ce cas particulier, le malware ait été trouvé via les résultats de recherche de Google, la même chose pourrait tout à fait se produire avec n'importe quel moteur de recherche (Bing, DuckDuckGo, Ecosia, Qwant etc.). Le travail d'indexation du web est déjà énorme et il n'est pas facile pour les moteurs de recherche de filtrer leurs résultats, tout en restant pertinent.

D'une part, les malwares s'adaptent constamment afin d'échapper à la détection, comme le montre cette nouvelle campagne de lutte contre les logiciels malveillants. Même si Google avait analysé le site à la recherche de malwares connus avant de l'indexer, il n'en aurait trouvé aucun, car les logiciels malveillants étaient tout neufs et n'avaient pas encore été découverts.

D'autre part, les pages sont souvent conçues pour présenter dynamiquement un contenu différent selon le contexte. Si un serveur Web détermine que Google explore le site, il peut présenter une page entièrement différente de celle que vous pourriez voir si vous  saisissiez directement l'URL dans votre navigateur, c'est ce qu'on appelle dans le domaine du SEO du cloaking. Et cette page pourrait être différente de celle que vous verriez si vous cliquez sur un lien dans les résultats de recherche Google , comme c'était le cas avec cette campagne.

Ce n'est peut-être pas une tâche impossible, mais c'est certainement un défi important pour Google et les autres moteurs de recherche que d'essayer d'empêcher tout contenu potentiellement dangereux d'apparaître dans les résultats de recherche.

Le meilleur moyen de se protéger contre ces nouvelles menaces numériques, hormis bien sûr une certaine prudence vous invitant à réfléchir avant de cliquer sur n'importe quel lien, est bien sûr d'installer un antivirus, même sous un Mac. Sachez d'ailleurs qu'Intego, spécialiste de solutions de sécurité pour Mac, propose en ce moment une réduction de 50% sur l'ensemble leurs solutions de protection anti-virus :

Réduction de 50% pour Intego Mac Internet Security X9

Réduction de 50% pour Intego Mac Premium Bundle X9

Laisser un commentaire

Les commentaires sont publiés après modération.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.