Hier nous rapportions qu'un cheval de Troie codé pour le système d'Apple se déguisait sous le forme d'un fichier PDF, une fois encore, les logiciels d'Adobe sont exploités par des hackers malintentionnés et aujourd'hui nous découvrons Flashback (OSX/flashback.A), un autre malware tentant cette fois de répliquer l'installation du plugin Flash Player. Celui-ci serait téléchargé à partir de sites Internet vérolés et comme le souligne les experts d'Intego « dans la mesure ou Mac OS X Lion n'inclut par le lecteur Flash, quelques utilisateurs peuvent se faire berner et penser qu'il s'agit d'un vrai lien de téléchargement ».
Une fois le fichier téléchargé sur l'ordinateur de la victime - et si cette dernière utilise le navigateur Safari avec les configurations basiques - l'assistant d'installation d'applications de Mac OS X s'ouvrira automatiquement. En effet, le navigateur d'Apple estime que les archives dotées de l'extension .pkg ou .mpkg sont, par défaut, saines. Pendant l'installation, le malware désactivera les logiciels de protection de réseau et notamment le pare-feu de Little Snitch. L'installation se terminera par la destruction de l'archive initialement téléchargée. Par la suite, le cheval de Troie installera une bibliothèque d'exécution dynamique permettant d'injecter du code au sein de chacune des applications ouvertes par l'utilisateur. Notons par ailleurs qu'une connexion est établie vers un serveur distant afin de retourner certaines informations comme l'adresse MAC.
Les experts d'Intego sont actuellement en train d'analyser le code injecté par ce malware. Quoiqu'il en soit, il est conseillé de se rendre au sein des paramètres généraux de Safari et de décocher la case intitulée « Ouvrir automatiquement les fichiers "fiables" ». Rappelons enfin que le téléchargement du plugin Flash doit être effectué exclusivement depuis le site d'Adobe.
