Tout comme Flashback, SabPub exploite une faille de Java pour s'introduire dans l'ordinateur de l'utilisateur. Initialement, il fallait que ce dernier ouvre un fichier Word piégé pour que le mécanisme se déclenche, mais les pirates ont créé une variante du malware exploitant Java directement à partir d'un lien, sans avoir à télécharger de document texte. « SabPub est un cheval de Troie classique qui offre un accès complet au système de la victime pour ses assaillants » explique Costin Raiu de Kaspersky. Le virus se propage lorsque l'utilisateur clique sur un lien malveillant reçu par mail : il réalise, entre autres, des captures d'écran sur l'ordinateur de la victime, qui sont ensuite envoyées sur un serveur distant. Le mail se propage par le carnet d'adresse de l'utilisateur. Selon Raiu, les attaques seraient plutôt ciblées : « Il semblerait que les attaquants aient une liste très réduite de cibles potentielles. »
Pour autant, selon l'éditeur en sécurité, la méthode de propagation employée pourrait faire monter rapidement le nombre d'ordinateurs infectés - plus peut-être que Flashback, qui a infecté de son côté près de 700 000 machines - dans la mesure où il suffit de cliquer sur un simple lien pour déclencher le mécanisme d'installation.
Comme d'habitude, la prudence est de mise et on imagine qu'Apple et des spécialistes en sécurité proposeront bientôt des méthodes pour se prémunir contre cette nouvelle menace.
