La société de sécurité Dr. Web annonce une nouvelle attaque par un cheval de Troie publicitaire ciblant les utilisateurs de Mac. Des sites Web malveillants inciteront les utilisateurs à installer un plug-in permettant de suivre votre navigation et de vous afficher des publicités.

Le logiciel malveillant, appelé "Yontoo", sera d’abord rencontré comme lecteur multimédia, gestionnaire de téléchargement ou autre plug-in permettant d’afficher du contenu sur certains sites Web conçus de manière malveillante et déguisés en sources de partage de fichiers et de bandes-annonces. Lorsque vous cliquez sur l'invite du plug-in, vous êtes redirigé vers un site qui télécharge le programme d'installation Trojan et vous demande de l'exécuter. Le programme d'installation est destiné à un faux programme appelé "Twit Tube" qui, une fois installé, placera un plug-in ou une extension Web appelé "Yontoo" qui s'exécutera dans les navigateurs populaires tels que Safari, Chrome et Firefox.

Lorsque le programme malveillant est en cours d’exécution, les systèmes affectés font l’objet d’un suivi actif, et les sites Web légitimes sont piratés avec des bannières publicitaires et d’autres contenus qui tentent de vous inciter à cliquer dessus.

Les malfaiteurs semblent être une tentative de générer des revenus publicitaires, mais si vous avez récemment installé un plug-in suspect sur votre système et que des liens bizarres apparaissent sur les sites Web fréquentés, recherchez les plug-ins installés. toute trace de ce malware. Vous pouvez le faire dans Safari et Chrome en vous rendant dans les préférences "Extensions" pour voir si un nom appelé Yontoo y est présent. Vous pouvez également sélectionner l'option "Plug-ins installés" dans le menu Aide de Safari pour afficher des informations sur votre plug-in. ins. Pour Chrome, copiez et collez l'URL "chrome: // plugins /" dans le champ d'adresse de votre navigateur pour accéder aux paramètres de plug-in. Dans Firefox, vous pouvez choisir "Add-Ons" dans le menu Outils pour rechercher des extensions et des plug-ins.

Si vous trouvez une trace du plug-in Yontoo sur votre système, bien que vous puissiez le désactiver dans chaque navigateur Web, une option plus approfondie consiste à accéder au dossier Macintosh HD> Bibliothèque> Internet Plug-Ins et à le retirer. -in manuellement. En outre, vous devez vérifier le dossier de plug-ins de votre répertoire de base auquel vous pouvez accéder en choisissant Bibliothèque dans le menu Aller du Finder (maintenez la touche Option enfoncée pour afficher la bibliothèque dans ce menu si elle manque), puis localisez le dossier Internet Plug-Ins ici. Lorsque le plug-in est supprimé, quittez et relancez vos navigateurs.

Étant donné que les plug-ins Web constituent l'une des méthodes permettant aux développeurs de programmes malveillants de cibler un système, vous pouvez, pour vous protéger des attaques, obtenir un inventaire de vos dossiers de plug-ins Web afin de savoir exactement ce qu'ils contiennent. capable de mieux enquêter sur les nouveaux articles placés là-bas. Une autre approche similaire consiste à configurer un service de surveillance sous OS X qui vous informera de tout nouvel élément placé dans les dossiers Internet Plugins de votre système. J'ai récemment décrit une méthode permettant de contrôler les dossiers de l'agent de lancement sur un Mac. Vous pouvez également appliquer cette méthode aux deux chemins de répertoire suivants, en plus des chemins de l'agent de lancement décrits dans l'article:

Macintosh HD> Bibliothèque> Plug-ins Internet

Macintosh HD> Utilisateurs> nom d'utilisateur > Bibliothèque> Internet Plug-Ins