Les utilisateurs d'OS X aiment se moquer des utilisateurs de Windows, car ils sont les seuls à avoir un problème de malware. Mais ce n’est tout simplement plus vrai et le problème s’est considérablement accru ces derniers mois. Rejoignez-nous pour exposer la vérité sur ce qui se passe réellement et, espérons-le, avertir les gens de la catastrophe imminente.
Puisqu'il s'agit en fait d'Unix sous le capot, OS X dispose d'une protection native contre les pires types de virus. Mais le problème de nos jours, ce ne sont pas les virus qui détruisent complètement votre ordinateur, ce sont les logiciels espions, les logiciels malveillants et les logiciels publicitaires qui se faufilent sur votre ordinateur, détournent votre navigateur, insèrent des publicités et suivent ce que vous regardez. Et une grande partie est légale, car vous êtes amené à cliquer sur la mauvaise chose pendant un programme d'installation.
EN RELATION: Download.com and Others Bundle Superfish-Style HTTPS Breaking Adware
Et maintenant, des sites de téléchargement, de fausses publicités pour des logiciels sur les moteurs de recherche et des applications fragmentaires regroupent des logiciels publicitaires et des logiciels malveillants dans des installateurs de logiciels légitimes. Vous ne pouvez plus simplement supposer que vous êtes en sécurité parce que vous utilisez OS X. Vous devez faire attention à ce que vous téléchargez et à ce sur quoi vous cliquez.
Si vous ne pensez pas que ce soit un gros problème, détrompez-vous. Ces logiciels publicitaires s'insèrent directement dans le navigateur, et ils analysent et s'exécutent même sur des sites sécurisés comme votre banque, votre site de carte de crédit et votre courrier électronique, renvoyant des données à leurs serveurs. Ils n'utilisent pas un proxy de piratage HTTPS tout à fait encore d'après ce que nous pouvons dire au cours de nos recherches, mais ce n'est qu'une question de temps, et ils le font peut-être déjà et nous n'avons pas encore trouvé la preuve.
Étant donné que nous sommes principalement des utilisateurs de Mac chez How-To Geek, nous espérons vraiment qu'Apple adoptera une tactique différente de ce problème avec Microsoft avec Windows et ne permettra pas à ces escrocs de détruire leur plate-forme.
Le pack Crapware pour OS X s'aggrave chaque jour
Il n'y a pas si longtemps, vous pouviez installer presque tout pour OS X à partir de presque n'importe quel site Web, et vous n'aviez pas vraiment à vous soucier de ce sur quoi vous cliquiez. Ce n’est tout simplement plus vrai, et bien que les choses soient meilleures qu’elles ne le sont sous Windows, ce n’est qu’une question de temps pour le moment.
EN RELATION: Voici ce qui se passe lorsque vous installez les 10 meilleures applications Download.com
Vous avez toujours une source sûre de logiciels avec le Mac App Store, mais le problème est que tous les fournisseurs ne vendent pas leurs logiciels via l'App Store, et beaucoup d'entre eux y vendent des versions plus anciennes et ont la dernière version sur leur propre site Web. Si vous vous en tenez à l'App Store, vous n'avez rien à craindre. Nous aimerions voir Apple résoudre certains des problèmes de l'App Store et faire en sorte que tout le monde l'utilise.
Tout comme sur Windows, vous pas besoin de chercher plus loin que les téléchargements CNET pour trouver des crapwares fournis… même pour Mac. C'est vrai, ils sont devenus multiplateformes avec ce non-sens. Et ils ont empiré les choses, car vous avez soit un bouton Installer, soit un bouton Fermer. Il n'y a même plus de déclin! Lorsque vous cliquez sur Fermer, le programme d'installation s'arrête complètement. Vous avez donc soit un crapware groupé qui détourne votre navigateur, soit vous ne pouvez pas installer cette application.
Celui de la capture d'écran installe Spigot et un tas d'autres absurdités qui redirigent votre navigateur vers Yahoo, installe un tas de plugins indésirables et fait généralement pleurer le monstre spaghetti volant. Il est étonnant de voir combien d’argent Yahoo doit investir dans ces choses pour détourner votre navigateur vers son moteur de recherche… alors qu’il n’est même pas le leur. Yahoo Search n'est en réalité qu'une version rebaptisée de Bing. Tant pis.
Oh mon! Sur l'écran suivant, l'installateur vous permet enfin de refuser quelque chose à nouveau! Peut-être que la chose dans la capture d'écran est si mauvaise que même CNET Downloads ne veut pas vous le forcer. Pas bon signe.
Bien sûr, il n'y a pas que CNET Downloads qui effectue le regroupement - nous avons trouvé un certain nombre d'autres applications distribuées sur des sites de téléchargement de logiciels gratuits qui font leur propre regroupement. Par exemple, YTD qui charge un logiciel publicitaire de piratage HTTPS pour Windows a une version Mac. Et ils regroupent également Spigot. Envie de torrent quelque chose? Pourquoi n'allez-vous pas télécharger uTorrent depuis leur site Web? On dirait que les gens adorent l'utiliser. Ohhh.
Le problème est bien pire lorsque vous essayez de rechercher des logiciels gratuits en utilisant votre moteur de recherche préféré. Il convient de noter ici que Google a récemment commencé à essayer d'interdire les crapwares groupés de leurs résultats et de leurs annonces, mais malheureusement, Yahoo et Bing n’ont pas le même niveau d’excellence. En fait, ils sont tout simplement terribles.
Si vous êtes un utilisateur moyen et régulier et que vous recherchez Yahoo pour «télécharger vlc», vous obtiendrez quelque chose qui ressemble à la capture d'écran suivante. Et chaque élément de la page est en fait un lien vers un programme d'installation de crapware pour VLC, et presque tous sont multiplateformes et fonctionnent sous OS X. Et le texte qui dit «annonce» est presque invisible.
Lorsqu'un utilisateur sans méfiance essaie d'utiliser l'un de ces installateurs, il se verra présenter un écran similaire à celui-ci… qui installe l'horreur InstallMac qui détourne tout et met des logiciels publicitaires dans votre système - c'est terrible. Et, bien sûr, l’écran suivant essaie de vous amener à installer quelque chose d’autre dont vous n’avez pas besoin. Et puis autre chose. C’est tellement de crapware.
Nous avons trouvé beaucoup plus de logiciels qui sont servis de cette façon, avec une tonne d’installateurs de presque toutes les sociétés d’installations de crapware. Voici un wrapper d'installation pour OpenOffice fourni avec un adware vraiment moche qui prend juste le contrôle de votre navigateur. Oui, nous avons de nouveau cherché OpenOffice sur Yahoo, et avons cliqué sur ce que nous pensions être le vrai site parce que le texte de leur "annonce" était si petit que nous ne pouvions pas faire la différence. Et c'est ce qui est arrivé.
Il est sur le point de devenir une épidémie pour les utilisateurs de Mac. Alors, à quoi devons-nous nous attendre?
Les logiciels publicitaires et malveillants sur OS X sont presque aussi horribles que sur Windows
Lorsque vous parvenez à être infecté par quelque chose, la plupart des logiciels publicitaires, des logiciels malveillants et des logiciels espions sur OS X vont essayer d'infecter votre navigateur d'une manière ou d'une autre, en détournant votre nouvel onglet, votre recherche et vos pages d'accueil, en injectant des publicités dans les pages et au hasard. afficher des alertes de support technique désagréables. La plupart d’entre eux n’effaceront pas votre disque dur ou quoi que ce soit de vraiment terrible… mais compte tenu de la sophistication croissante que nous constatons, ce n’est qu’une question de temps.
Beaucoup de ces pirates de navigateur inséreront des publicités qui afficheront des messages qui ne peuvent pas être rejetés, peu importe ce que vous faites, comme vous pouvez le voir dans la capture d'écran ci-dessus. Et ils s'afficheront au hasard tout le temps pendant que vous naviguez, et vous devez CMD + Q pour fermer complètement l'application pour vous en débarrasser. Essentiellement, votre navigateur devient complètement inutile.
L'adware le plus simple s'installera dans votre navigateur en tant qu'extension et réinitialisera toutes vos pages pour passer par leur terrible et terrible moteur de recherche. Et par là, nous entendons principalement Yahoo… mais il y en a une tonne d'autres comme searchmoose, search-quick et searchbenny qui utilisent leurs propres faux moteurs de recherche. Certains d'entre eux vous redirigeront vers Bing, mais jamais directement. C’est toujours par un intermédiaire comme Trovi.
La plupart des publicités injectées essaieront de vous inciter à installer encore plus de publicités en utilisant de faux messages de plug-in Java, ou des messages vous demandant d'installer un codec ou une nouvelle version de Flash. Tout cela est faux, bien sûr, et ne fera qu'installer encore plus de logiciels malveillants et de logiciels malveillants sur votre ordinateur. De temps en temps, l'un d'eux essaiera de diffuser un logiciel publicitaire Windows, mais pour la plupart, ils sont assez intelligents pour savoir que vous êtes un utilisateur Mac et proposer le logiciel de crapware approprié.
De nombreux logiciels publicitaires redirigeront votre moteur de recherche vers un faux moteur de recherche qui ressemble beaucoup à Google ou à Bing, mais tous les résultats ne sont que des publicités.
Et puis il commencera à vous parler au hasard. Au sens propre. Il lit des publicités audio via vos haut-parleurs. Nous avons entendu une publicité pour Northrup Grumman. A quel point est-ce fou? (Nous sommes tout à fait certains qu'ils ne le savent pas.)
Nous venons de montrer quelques-uns des adwares ennuyeux, mais une grande partie des crapwares fournis sont également assez minables, et presque tous les bundles de crapwares que nous avons trouvés, et presque toutes les publicités publicitaires ont essayé de nous amener à installer MacKeeper. Nous ne savons pas grand-chose à ce sujet, même si nous prévoyons d’examiner son fonctionnement, car ces tactiques sont discutables.
La plus grande tendance que nous ayons remarquée dans les logiciels publicitaires est que presque tous essaient de rediriger votre navigateur et votre moteur de recherche vers Yahoo. Quelqu'un là-bas chez Yahoo doit se faire virer.
Creuser plus profondément: comment certains de ces logiciels malveillants fonctionnent réellement
L'adware simple fonctionne comme la plupart des adwares, en s'installant dans les extensions de Safari, ce qui est assez facile à désinstaller. Le problème est que seuls quelques logiciels publicitaires ont fonctionné de cette façon dans nos recherches.
Tous les détournements de moteur de recherche, la redirection de la page d'accueil et les extensions injectant des publicités sont une chose. Le plus gros problème est le malware sérieux, qui s'installe profondément dans le système d'exploitation, et la personne moyenne ne pourrait jamais le supprimer. Il n'y a pas de programme de désinstallation, pas d'élément de démarrage, il n'y a pas de plug-ins dans votre navigateur, d'extensions ou de tout autre élément qui semble être installé.
Ce qu'il y a, cependant, ce sont des publicités vraiment horribles injectées dans tout ce que vous faites, ce qui rend votre ordinateur plus lent que la saleté. Votre moteur de recherche sera détourné et il est possible que votre navigateur soit acheminé via un proxy. Il s’agit d’un malware pur et simple, ce n’est plus seulement un logiciel publicitaire, même si vous avez accidentellement oublié de décocher une case quelque part. Cela fonctionne de la même manière Le malware Trovi fait sur Windows , en s'injectant dans les processus.
Ces logiciels malveillants plus sérieux s'installent en tant que démon, ou service, qui s'exécute en arrière-plan et en arrière-plan. Vous pouvez trouver ces éléments dans le dossier / Library / LaunchAgents ou / Library / LaunchDaemons, qui contiendra des éléments vraiment étranges qui n'appartiennent tout simplement pas. Ce dossier peut également être utilisé pour des choses réelles à partir d'applications réelles, alors n'allez pas nettoyer ce dossier entièrement ou quoi que ce soit.
Un examen du fichier plist vous montrera où se trouve le malware réel, qui se trouve généralement dans un dossier complètement séparé.
Lorsque vous vous rendez dans ce dossier et examinez le fichier Version.plist, vous obtiendrez des informations supplémentaires sur ce qui se passe réellement. Cette chose s'appelle Search-Quick et prend en charge le piratage de Chrome et Safari, ainsi que la construction nocturne de Webkit pour une raison quelconque.
L'examen plus loin aboutit à quelque chose de curieux… la personne qui a écrit ce malware voulait remercier spécialement sa mère.
Une fois que le malware est lancé par OS X en tant que démon, il utilise ensuite une fonctionnalité peu connue sous OS X qui permet à un processus de s'injecter dans un autre processus. Vous pouvez voir comment cela fonctionne en ouvrant un terminal et en exécutant directement l'exécutable de l'agent. Ce qui se passe en fait, c'est qu'il s'attachera à votre navigateur Web et se chargera comme une extension cachée. Dans la capture d'écran ci-dessous, vous pouvez voir qu'il s'est activé pour l'ID de processus 544, qui était Google Chrome. Il en fera de même avec Safari s’il est ouvert.
Cela signifie qu'un adware ou un malware est en cours d'exécution à l'intérieur de votre navigateur Web, s'injectant dans chaque page que vous visitez. Peu importe si vous visitez un site bancaire sécurisé ou non, ils sont déjà à l'intérieur. L’un des effets secondaires de ce malware est que tout votre ordinateur sera extrêmement lent, tout le temps, quoi que vous fassiez.
Pour obtenir des conseils sur la suppression des logiciels publicitaires et des logiciels malveillants sous OS X, vous pouvez lire le document d'assistance Apple , ou attendez simplement nos prochains articles sur le sujet. Nous allons faire beaucoup plus de recherches sur toutes ces choses.
Alors qu'est-ce que tout cela signifie et comment vous protégez-vous?
Même si nous avons montré que les logiciels malveillants, les logiciels publicitaires, les crapwares et les logiciels espions s'aggravent de plus en plus sous OS X, cela ne signifie pas que vous devez nécessairement vous inquiéter ou installer Linux ou faire quelque chose de radical. OS X n'est toujours pas autant ciblé que Windows, et certaines mesures de sécurité sont toujours en place qui rendent plus difficile la pénétration des logiciels malveillants.
La chose la plus sûre que vous puissiez faire est d'utiliser le Mac App Store pour installer vos applications dans la mesure du possible. Ces applications ont été vérifiées par Apple et devraient être parfaites à utiliser, et ne seront certainement pas fournies avec un crapware ou un logiciel publicitaire.
Restreindre les applications qui ne proviennent pas de l'App Store
Cela ne résoudra pas entièrement le problème, mais vous pouvez configurer OS X pour restreindre automatiquement tous les exécutables qui ne proviennent pas de l'App Store. Cela ne s’appliquera pas aux applications déjà installées sur votre ordinateur, quelle que soit leur origine. Cela s'appliquera simplement aux nouveaux téléchargements.
Allez dans Préférences système -> Sécurité et confidentialité, cliquez sur l'icône de verrouillage en bas, puis retournez le paramètre sur Mac App Store au lieu de la valeur par défaut.
Une fois que vous avez fait cela, essayer d'exécuter tout ce qui ne se trouve pas dans l'App Store affichera automatiquement un message de blocage. Vous pouvez choisir de toujours l'ouvrir si vous cliquez avec le bouton droit et choisissez Ouvrir, puis choisissez à nouveau Ouvrir, mais par défaut, tout est bloqué.
Cela ne résout pas le problème des applications que vous faire souhaitez installer un crapware groupé qui nécessite la désactivation par défaut. Mais c'est un excellent paramètre de sécurité pour vos proches.
Lorsque vous avez besoin d'installer une application ailleurs, assurez-vous qu'il s'agit vraiment d'une source fiable et non d'un faux site proposant des logiciels gratuits open source avec un wrapper de bundleware.
EN RELATION: Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?
Vous devriez également envisager de désactiver les plugins de votre navigateur - pour Chrome et Firefox, c'est assez simple , pour Safari, c'est un un peu plus compliqué . La plus grande chose que vous puissiez faire est désactiver votre plugin Java , car il est assez rare que vous en ayez besoin, et parce que Java était responsable de 91% des attaques en 2013 . Cela réduira votre probabilité de être ciblé par une attaque zero-day .
Il est peut-être même temps de commencer à envisager un antivirus pour OS X, du moins si vous aimez installer de nombreux logiciels à partir de sources extérieures à l'App Store. Si ce n’est pas le cas, ce n’est probablement pas aussi important, mais nous nous rapprochons du point où cela sera nécessaire. Ce dont nous ne sommes pas encore sûrs, c'est de savoir quel antivirus pour Mac vaut même la peine et bloque ce type de choses - sur Windows, la plupart des antivirus ne bloquent pas du tout les crapwares et adwares groupés, car ils sont légaux puisque vous deviez accepter processus d'installation. Alors n'allez pas simplement payer pour un antivirus pour le moment. Gardez cela à l'esprit pour l'avenir.
En dehors de cela, faites simplement attention à ce sur quoi vous cliquez et ne faites pas confiance aux messages d'erreur qui apparaissent dans la fenêtre de votre navigateur Web. Si vous voyez quelque chose qui indique que votre ordinateur est infecté et affiche un message, maintenez cette combinaison de touches de raccourci CMD + Q enfoncée pour fermer tout immédiatement.
Il n’ya pas de meilleur moment pour les utilisateurs de Windows de passer à Mac Avec autant de logiciels malveillants et publicitaires en cours de développement, ils se sentiront comme chez eux! (Nous plaisantons, bien sûr.)
