Dans une récente analyse du business se cachant derrière le cheval de Troie Mac Flashback, les chercheurs en sécurité de Symantec ont indiqué que l’objectif principal du programme malveillant est la génération de revenus grâce à un élément ad-clic.
Les chercheurs en sécurité de chez Symantec estiment que les cybercriminels derrière le retour le botnet Mac OS X peuvent avoir engrangé environ 10 000 dollars par jour en revenus publicitaires chez la régie au CPC Google Adsense !
Dr. Web, la firme de sécurité russe qui a découvert le botnet Flashback le mois dernier, a fourni de nouvelles données sur le nombre de Macs encore infectés par le logiciel. Les résultats montrent que, bien que près de 460 000 machines restent infectés, le botnet se rétrécit à un rythme de près de cent mille machines par semaine étant donné que les utilisateurs de Mac téléchargent progressivement l’outil d’Apple pour la désinfection de leurs machines.
Quand un utilisateur infecté effectue une recherche sur Google, le moteur de recherche renvoie ses résultats de recherche normaux. Flashback attend que quelqu’un clique sur une annonce, et l’utilisateur est alors redirigé silencieusement vers une autre annonce, qui génère des revenus pour les créateurs du malware. Dans un résultat, Google sait si quelqu’un a cliqué sur l’annonce d’un de ses clients, mais le client ne saura alors jamais que son annonce n’a en réalité pas été délivrée correctement. En fin de compte, les clients publicitaires de Google paient au profit des bot-masters du trojan Flashback !
Voici ce qu’il se dit sur le blog de Symantec à ce propos :
Le composant ad-clic de Flashback est chargé dans les navigateurs Chrome, Firefox et Safari, où il peut intercepter toutes les requêtes GET et POST du navigateur. Flashback cible spécifiquement les requêtes de recherche effectuées sur Google et, en fonction de la requête de recherche, peut rediriger les utilisateurs vers une autre page selon le choix de l’attaquant, où ils reçoivent alors des revenus publicitaire au clic. (Google ne reçoit jamais le clic sur l’annonce initialement prévue.)
La composante clic analyse les demandes résultant d’un clic sur une annonce présente dans les pages de résultat de recherche de Google et détermine si elles sont sur une liste blanche. Si non, il les transmets à un serveur malveillant.
Les pirates trompent les utilisateurs de Mac en téléchargeant le malware en le déguisant en une mise à jour Adobe Flash Reader. Le cheval de Troie Flashback est adapté pour se glisser au-delà des moyens de défense des Macs, c’est une variation des malwares génériques touchant les PC ayant l’OS de Microsoft.
Les commentaires sont fermés.