Le rapport en question a été dressé par Doctor Web, un éditeur russe d'antivirus. L'équipe a ainsi analysé le déploiement d'un cheval de troie baptisé BackDoor.Flashback. Ce dernier formerait un botnet toujours en pleine expansion. « Une fois de plus cela dément les propos de certains selon lesquels il n'y a pas de cyber menaces sur Mac OS X », explique ainsi la société. Les hackers ont exploité deux vulnérabilités (CVE-2011-3544 et CVE-2008-5353), respectivement corrigées par Apple le 16 mars et le 3 avril.
La machine de la victime est infectée après la visite d'un site malveillant contenant du JavaScript chargeant lui-même une applet Java. Une fois installé BackDoor.Flashback.39 scanne le Mac à la recherche d'applications de sécurité comme Little Snitch, Virus Barrier, avast! ou iAntiVirus puis établi la communication à distance avec les serveurs de contrôle.
Parmi les sites contenant ce code nous retrouverions godofwar3.rr.nu, ironmanvideo.rr.nu, killaoftime.rr.nu, gangstasparadise.rr.nu, mystreamvideo.rr.nu, bestustreamtv.rr.nu, ustreambesttv.rr.nu, ustreamtvonline.rr.nu, ustream-tv.rr.nu ou encore ustream.rr.nu. Certains utilisateurs d'Apple font également mention du site dlink.com. A la fin du mois de mars plus de 4 millions de pages infectées pouvaient être trouvées au travers de l'index de Google.
56,6% des ordinateurs infectés (303 449) seraient localisés aux Etats-Unis. En France ce taux serait de 0,6%.
