La fortune du gang du trojan Flaskback sur Mac

Symantec publie une étude étonnante sur son blog – étonnante, car il est rare de disposer de ce type d’information détaillée – sur le cheval de Troie (trojan) Flashback.k, qui aurait infecté plus de 600 000 ordinateurs Mac entre mars et avril, et qui rapporterait aujourd’hui encore 10 000 dollars par jour aux hackers qui l’exploitent…

La fraude au clic qui rapporte !

Flashback.k est un logiciel mafieux à l’origine d’une fraude au clic. Il s’installe sur les Mac en exploitant une faille dans Java. À partir de ce moment, il redirige les utilisateurs qui cliquent sur une publicité vers d’autres publicités en ligne gérées par le moteur de recherche Google, sur lesquelles il clique en leur nom. Comme tout se déroule du côté du client, les sites victimes de l’arnaque et Google lui-même n’y peuvent pas grand-chose.

À chaque clic, les auteurs de la fraude dite des clics fantômes (ghost clicks), générés non pas des internautes derrière lesquels ils se cachent, mais par un réseau d’ordinateurs vérolés (botnet), touchent la rémunération de Google à ses intermédiaires qui affichent ses pubs. Symantec donne quelques chiffres : pour une campagne sur des jouets rémunérée 0,008 dollar le clic, 1 000 clics rapportent 8 dollars, 10 000 rapportent 80 dollars, etc.

Symantec révèle également que les auteurs de Flashback.k ont plutôt intelligemment paramétré leur jouet en intégrant une liste blanche (whitelist) de sites protégés, c’est à dire vers lesquels ils s’interdisent de cliquer. Y figurent par exemple le géant Amazon et le système de paiement PayPal. L’objectif est bien évidemment d’éviter les grands acteurs du web afin de limiter le risque de se faire repérer.

Le Mac en première ligne

Les éditeurs de solutions de sécurité ont identifié l’arnaque, et bien évidemment mis à jour leurs produits. Sauf que peu d’internautes ont adopté une stratégie de sécurité avec mise à jour régulière de la solution déployée. Pire encore, nombre d’utilisateurs Mac pensent que la plateforme d’Apple n’est pas menacée et que l’OS du Mac les protège. Une vision qui certes pouvait se défendre voici quelques années, lorsque les hackers étaient concentrés sur les environnements Windows et dédaignaient la négligeable communauté Apple. Sauf que depuis Apple a fait du chemin et les utilisateurs du Mac sont devenus une riche cible potentielle.

Résultat : même repérée, identifiée, corrigée, protégée par les antivirus, la faille dans Java continue d’être exploitée… et de rapporter à ses auteurs. La simulation de Symantec affirme que Flashback.k générerait 10 800 dollars de revenus par jour, soit 756 000 dollars par semaine, ou encore 3,9 millions de dollars par an. Qui a dit que le crime de paie pas ?

Comment se protéger ?

Au-delà de l’antivirus, la mise à jour de Java s’impose. Celle-ci est généralement proposée automatiquement par Apple. Sauf que ce dernier est souvent pointé du doigt sur sa faible réactivité pour mettre à jour ses produits lorsqu’une menace est détectée. Il aura fallu 7 semaines à Apple pour corriger (début avril) la faille Java après la révélation de Flashback.k, selon Symantec, alors que sous Windows et Linux elle l’était dès la mi-février.

De plus, Apple a cessé la livraison des mises à jour de sécurité sur les anciennes versions de son OS, Leopard OS X 10.5 et antérieures. Pour les utilisateurs de Mac qui prennent de la bouteille, il n’y a guère d’autre solution que de désactiver Java sur le navigateur. Mais n’allez pas croire qu’ils sont les seuls à être en danger ! Snow Leopard, la dernière version de l’OS Apple, représenterait la génération Mac la plus infectée par Flashback, soit 63,4 % des botnet détectés par Symantec.

Crédit photo © NinaMalyna – Fotolia.com

Voir aussi
Quiz ITespresso.fr – Hacking, phishing, spamming ? La sécurité sur internet n’a pas de secret pour vous ?