Découvert le 21.03.2013, un cheval de Troie est utilisé pour déposer et installer un « adware » (un logiciel délivrant des publicités) dans les Mac sous OS X.

Dans le cas du parasite « Trojan.Yontoo.1 » attaquant les Mac sous OS X, c'est le mécanisme du « Cheval de Troie » qui est utilisé, mais d'autres mécanismes peuvent être utilisés, comme l'exploitation d'une faille de sécurité à partir d'un script incrusté dans un page Web piégée, suivi d'un « Drive by Download ».

Dans le cas du parasite « Trojan.Yontoo.1 », le vecteur utilisé, le « Cheval de Troie », est le classique coup d'un lecteur vidéo (un plugin), prétendument manquant pour visualiser une vidéo en ligne. L'internaute est invité à installer ce plugin, appelé « Free Twit Tube » (Freetwittube), dans son navigateur (Firefox, Safari, Chrome) et, dans l'impatience et la fébrilité de regarder cette vidéo qui vient d'être trouvée, aucune précaution n'est prise (l’internaute ne fait pas analyser le plugin par un service multi-antivirus en ligne).




Le téléchargeent ne va pas être le plugin attendu mais un « téléchargeur » (un « downloader »), qui va prendre en charge, dans un second temps, le téléchargement du fichier demandé et qui va en profiter pour télécharger autre chose, à l'insu de l'utilisateur. La vidéo va réellement pouvoir être visualisée et l'internaute va en reste là, dans un premier temps.



Mais, dans les minutes qui suivent, son ordinateur va commencer à le bombarder de publicités. D'autre part il y a une atteinte à la vie privée car les encarts publicitaires sont sollicités sur un serveur distant. Cela va se faire par des requêtes HTTP qui embarquent de données privées que le serveur va se faire un plaisir de capturer (c'est le « Tracking » conduisant au « Profiling »).

Ce que n'a pas vu l'internaute, c'est que le plugin a agit en « Cheval de Troie », exactement comme le cheval de Achéens pénétrant la cité de Troie pour y déverser les troupes grecques assassines, une fois la barrière des murailles de Troie franchie. Le plugin embarque une « charge active » qu'il dépose et installe dans le système.

Pour attirer des victimes, les cybercriminels développent des sites Internet attractifs contenant des ressources média alléchantes, aux titres accrocheurs.

Le vecteur de l’attaque, le « Cheval de Troie », peut être un plugin ou un prétendu utilitaire quelconque ou, souvent, un gestionnaire de téléchargement. De très nombreux sites de téléchargements ne permettent pas de télécharger directement le fichier recherché. Sous prétexte de sécuriser le téléchargement et de gérer des points de reprise en cas de coupure de communication (ce que tous les outils de téléchargement savent faire), ils implantent un « téléchargeur » (un « downloader »), qui va prendre en charge dans un second temps, le téléchargement du fichier demandé. Le « downloader » en lui-même peut être analysé par un service multi-antivirus – il apparaîtra toujours « propre ». Une fois lancé, le « downloader » va prendre en charge le téléchargement (et l’installation s’il s’agit de télécharger un logiciel) de la ressource souhaitée et, silencieusement et à l’insu de l’internaute, il va télécharger et installer un à plusieurs logiciels cybercriminels, sous le nez de l’internaute qui ne voit rien.



DrWeb