La société de sécurité Kaspersky révèle qu’en 2019, le malware » Shlayer » a infecté un utilisateur sur dix de macOS. Celui-ci a ouvert la porte à des applications malveillantes qui se cachent derrière de faux messages souvent liés aux mises à jour d’Adobe Flash.
Les Mac ont été la cible la plus fréquente de ce malware macOS. Kaspersky signale que ce dernier est actif depuis au moins début 2018. Seulement, il est vraiment devenu une menace qu’en 2019. La société estime qu’environ 10% de tous les Mac en circulation ont été touchés par ce malware. À lui seul, il représente 30% de tous les chevaux de Troie détectés sur macOS.
Shlayer Trojan est un mécanisme de partage pour une variété d’autres logiciels malveillants. Une fois entré dans un Mac, il n’endommage pas spécifiquement la machine. En revanche, il génère une série de codes malveillants, en particulier des logiciels publicitaires.
Comment ce cheval de Troie est-il installé sur Mac ? Avec la complicité de l’utilisateur, qui doit effectuer plusieurs étapes. La première consiste à cliquer sur un lien vers un site qui commence à télécharger ce cheval de Troie. Des milliers de sites Web non fiables incluent ces liens malveillants. Il est également possible de les trouver dans des descriptions de vidéos YouTube ou même dans des articles Wikipedia (depuis corrigé).
En règle générale, ces liens invitent l’utilisateur à télécharger un logiciel, généralement une fausse mise à jour Adobe Flash. Le bouton » Télécharger Flash » commence à télécharger le cheval de Troie sur Mac.
Une fois le téléchargement terminé, l’utilisateur est invité à installer l’application. Cependant, la procédure d’installation normale de macOS ne se fait pas. Au lieu de double-cliquer pour démarrer l’installation, l’utilisateur est invité à cliquer avec le bouton droit et à sélectionner » Ouvrir le package » au premier clic.
Une fois installé, le cheval de Troie commence à télécharger des logiciels publicitaires ou d’autres applications malveillantes. Pour contourner les protections de macOS, ces adwares sont considérés comme une extension de Safari. De plus, le cheval de Troie superpose le message de confirmation et de protection de macOS avec une fausse boîte de dialogue qui informe l’utilisateur que l’installation est terminée. Les utilisateurs voient un bouton « OK » et cliquent dessus. Mais en réalité, ils cliquent sur le bouton qui autorise l’installation d’une application non certifiée.
Le résultat est que le Mac commencera à être bombardé de publicités. Le conseil est d’être très prudent avec les applications non certifiées. Il en va de même avec des sources non fiables et surtout avec les prétendues mises à jour Flash. Et bien sûr, installer un antivirus devient maintenant inévitable.
