L’actualité des malwares pour Mac OS X n’est pas un sujet particulièrement intense, mais certains évènements dans ce domaine montrent que l’ingénierie sociale a de beaux jours devant elle. Ainsi, après le rogueware MacDefender qui se faisait passer pour un antivirus, voici le malware qui se déguise en installation du lecteur Flash.
Tout a été fait pour que l’utilisateur se croie réellement en train d’installer le lecteur Flash. La fenêtre est identique, le texte l’est aussi et le logo est présent. Mais l’installation demande les droits administrateurs et ne met en aucun cas en place Flash. À la place, c’est le fichier hosts qui est modifié afin d’influencer vos recherches ultérieures sur Google.
Lorsque vous allez en effet utiliser le moteur, les pages de résultats ne seront pas celles attendues, mais d’autres conçues spécialement pour vous ouvrir des pop-ups qui, s’ils sont actuellement vides, pourraient très bien être remplis avec du contenu malveillant. F-Secure, qui décrit le malware, pense ainsi à de futures publicités.
Les pages sont stockées sur un serveur néerlandais (IP : 91.224.160.26) et, là encore, c’est la ressemblance avec Google qui pourra endormir la vigilance. Toutefois, on peut remarquer qu’elles font référence à l’ancien design de Google :
Méfiance donc. F-Secure détecte le malware sous l’appellation Trojan:BASH/QHost.WB. Pour ceux qui n’ont aucun antivirus, attention où vous téléchargez le plug-in Flash : le site officiel est de loin la meilleure solution.
Tout a été fait pour que l’utilisateur se croie réellement en train d’installer le lecteur Flash. La fenêtre est identique, le texte l’est aussi et le logo est présent. Mais l’installation demande les droits administrateurs et ne met en aucun cas en place Flash. À la place, c’est le fichier hosts qui est modifié afin d’influencer vos recherches ultérieures sur Google.
Lorsque vous allez en effet utiliser le moteur, les pages de résultats ne seront pas celles attendues, mais d’autres conçues spécialement pour vous ouvrir des pop-ups qui, s’ils sont actuellement vides, pourraient très bien être remplis avec du contenu malveillant. F-Secure, qui décrit le malware, pense ainsi à de futures publicités.
Les pages sont stockées sur un serveur néerlandais (IP : 91.224.160.26) et, là encore, c’est la ressemblance avec Google qui pourra endormir la vigilance. Toutefois, on peut remarquer qu’elles font référence à l’ancien design de Google :
Méfiance donc. F-Secure détecte le malware sous l’appellation Trojan:BASH/QHost.WB. Pour ceux qui n’ont aucun antivirus, attention où vous téléchargez le plug-in Flash : le site officiel est de loin la meilleure solution.