Un nouveau Trojan cible les Mac

Evitez de vous prendre une Bash/QHost.WB

Comme tout bon cheval de Troie, le malware prend la forme d’un installeur, un faux .pkg supposé installer FlashPlayer sur l’ordinateur. Ce type d’installeur n’est pas distribué à partir des sites officiels mais circulent sur des plateformes de téléchargement direct, ou sites plus que douteux hébergés le plus souvent dans des paradis fiscaux. Vraisemblablement, il se propagerait via de faux messages de mise à jour du logiciel Flash Player et inciterait à effectuer l’update immédiatement, pour des raisons de sécurité. Le nom du virus ? Bash/QHost.WB.

Le faux écran d'installation FlashPlayer (source F-Secure)

Des recherches Google corrompues

Une fois l’installation terminée, le trojan modifie un fichier système et toute tentative de connexion à Google (pour les secteurs géographiques concernés, surtout en Asie) est interceptée et redirigée vers de faux sites Google, qui ressemblent à l’original mais présentent quelques différences, imperceptibles si l’on n’est pas attentif. Les résultats de recherche sont pourtant tous faux, et un clic sur ces liens ouvrent une nouvelle page, vide, hébergée sur un serveur apparemment inactif. Le serveur qui héberge les fausses pages Google est lui hébergé aux Pays-Bas et continue son travail.

Plus d'informations sur le blog F-Secure