Ce nouveau malware déguisé en installateur Flash se fixe en profondeur dans macOS

Nicolas Furno |

Cela fait plusieurs années que les malwares se déguisent en installateur Flash, et même si le mode d’Adobe n’a plus la cote, cela doit quand même suffire à tromper pas mal de monde. Le dernier exemple évoqué par Malwarebytes n’est pas très original à cet égard, mais il mérite d’être mentionné pour ce qu’il fait pendant son installation. En effet, ce malware ne se contente pas d’installer ses paquets malveillants, il détourne aussi l’une des fonctions de macOS pour rester ancré dans le système et résister aux outils de nettoyage.

Comme tant d’autres avant lui, ce malware se déguise en faux installateur de Flash.

Cette variante de Crossrider installe en effet un profil de configuration qui force le navigateur à afficher une page web et empêche l’utilisateur d’en changer. C’est le cas dans Safari et dans Chrome et le paramètre est bloqué dans les réglages des apps respectives. Pour le modifier, la seule solution est d’abord de supprimer le profil, mais encore faut-il pouvoir le trouver.

Pour tromper l’utilisateur, le profil n’est pas clairement identifié dans le panneau des Préférences Système qui rassemble tous les profils (si vous ne le voyez pas sur le premier écran de l’app, c’est que vous n’en avez pas). Pour le retrouver si vous avez plusieurs profils, vous devrez faire défiler les détails et trouver le nom de domaine chumsearch.com. Ce profil devra être supprimé pour se débarrasser totalement du malware.

Le profil installé par le malware.

Malwarebytes explique aussi comment trouver et supprimer le profil en utilisant le terminal, ce qui sera utile pour les administrateurs de parcs de Mac. Naturellement, le meilleur conseil est de ne pas installer Flash n’installer Flash qu’à partir du site officiel d’Adobe, pour éviter ce biais de propagation assez classique pour les logiciels malveillants.

avatar C1rc3@0rc | 

«Cela fait plusieurs années que les malwares se déguisent en installateur Flash»

Ben Flash est un malware voire meme une usine a malware, donc rien que de tres logique.

Apres s'il y a des gens encore ignorants ou assez betes pour installer Flash alors que l'OS d'Apple le vire, que les navigateurs tentent par tous les moyens d'en dissuader l'usage, que les experts en securité denoncent Flash depuis des annees et qu'Adobe lui meme a fini par en ecrire l’épitaphe,... peut etre que ces gens meritent les catastrophes qui leurs arrivent...

avatar steinway59 | 

@C1rc3@0rc

Faut le dire au service Joomeo! Des années que je leur dis que Flash c’est de la merde et eux de me répondre qu’on fait pas mieux et que c’est top! 🤷🏼‍♂️

avatar getnuts | 

Fut un temps quand même Flash permettait l'impossible, et cela à tout chaland, dire que c'est dla merde c'est un peu ingrat, Flash c'est TOP à bien des égards, mais effectivement à chier sur d'autres :)

avatar petfouffe | 

@steinway59

J’ai contacté Joomeo il y a une semaine ou deux sur le sujet, voilà leur réponse : « Bonjour,

nous travaillons actuellement à la migration de Joomeo vers le "format" HTML5.

C'est un projet de longue haleine et les premières briques ont déjà été posées avec la mise en ligne des albums et des espaces publics il y a quelques temps.

Une phase supplémentaire verra le jour prochainement avec l'ajout des fonctions de labo photo au sein de ces modules publics. Elle sera suivie par la migration des espaces invités en HTML5 probablement au début du 2e semestre 2018.

Les espaces gestionnaires se passeront du module Flash par la suite. Sans pouvoir vous donner de date (même approximative), nous pouvons vous dire que Joomeo sera prêt pour faire le virage avant que Flash ne soit plus maintenu par Adobe.

Nous vous souhaitons une excellente journée.

L'équipe de Joomeo. »

avatar ludobubner | 

@C1rc3@0rc
Des gens encore ignorants ou assez bêtes ?
Je travaille dans une université. Nous sommes forcés d'utiliser Flash pour noter les présences des élèves, les relevées de notes... C'est un incontournable. Leur plate-forme est construite ainsi.

avatar Bigdidou | 

@ludobubner

C1rc3@0rc est absolument incapable de la moindre empathie, et ne voit jamais plus loin que lui même ou l'idée qu'il se fait du monde au travers de ce qu'il lit sur le net et dont ils bassine de compilations indigestes.
Mélange ça avec ne philosophie libertaire un brin apocalyptique bloquée en mode adolescent : toute discussion avec lui est impossible. Il est La Vérité, Grand Prêtre de Wikipédia.
Laisse tomber.
Ça ne l'empêche pas d'être pertinent et intéressant quand il est dans ses domaines de compétence très techniques. Pour le reste, il agglutine des masses d'information en croyant les comprendre mais n'a pas le background ni l'expérience (il a pas compris qu'on peut pas être compétent en tout).
Quand il se met à faire ds tartines de médecine ou de psychologie, c'st à se taper le cul par terre, et la tête contre les murs, mais j'ai renoncé à lui,répondre sur fond : il écoute rien et persuadé de son omniscience.
Alors ses jugements à l'emporte pièce, lasse tomber... ;)

avatar getnuts | 

@Bigdidou
C'est bien de nuancer avec des "je pense que", "je trouve que"... Et moins de graver dans la roche un avis personnel : rappelons nous que la connerie amène à la connerie et la tolérance à la tolérance et que quoi que tu dises, C1rc3@0rc fait parti de la communauté comme toi. Après, je comprend ta frustration de pas réussir à dialoguer avec lui, mais est-ce que tu comprends sa frustration à lui ? Si tu penses que tu connais mieux la psychologie que lui soit celui qui maitrise son sujet, car en se penchant un peu sur l'esprit humain, on comprend qu'on ne choisi pas qui on est et comment on pense, tout ça n'est qu'une suite de conséquences. On ne né pas con, on le devient, on ne né pas méchant, on le devient... toujours en réaction à quelquechose. Vouloir reprocher à quelqu'un sa réaction naturelle à une suite d'évènement, c'est ignorer sa propre histoire et manquer cruellement d'empathie.

Désolé pour le rappel, mais je trouve que ton message renforce les tranchées déjà existantes, et je ne vois pas l'intérêt, ni pour le présent ni pour le futur.

avatar Katsini | 

@getnuts

Beau revers.
Set et jeu !!👏🏻👏🏻

avatar Malum | 

Eh mon gars quand Cricautosatisfait nous bassine avec ses conneries plus grosses que la galaxie il n'y a pas de relativisme à faire ni à ajouter des je pense, à mon avis etc et toutes sortes d'hypocrisie pour faire croire à une vue tolérante de la vie. La terre est ronde et tourne autour du soleil. Cric affirme qu'elle est plate et que c'est le soleil qui tourne autour d'elle. Alors, même pour faire plaisir à votre relativisme, on ne va pas lui dire : je pense que ...
Ce gars plaît aux admiratifs de longues phrases imbitables aux raisonnements tordus avec des mots pseudosavants faisant croire tant à lui qu'à ses admirateurs que ce sont des génies ou leurs adorateurs.
Il nous a bassiné avec l'échec de l'AW, avec Face ID avec des arguments de cours d'école. Juste cette démonstration qu'il avait faite pour prouver qu'Apple était plus chère avec un ordinateur qu'un autre trois fois plus puissant (si encore il est possible de définir exactement la puissance) en multipliant par trois le prix Apple oubliant complètement qu'en multipliant par trois on aura trois claviers, trois écrans, trois coques, trois alimentations etc. Tenir un tel raisonnement démontre son incalculable incapacité à appréhender les faits. Alors mon gars admirez-le si vous voulez, mais votre relativisme le concernant est une belle connerie (vous pouvez m'insulter je m'en tape le coquillart. Cric est une pollution visuelle et intellectuelle du forum).

avatar getnuts | 

Mon frère, tous les avis se défendent, il n'y a qu'une seule vérité absolue, celle que toutes les vérités sont relatives :)

On s'en fou de savoir ce qu'il a dit ou fait, c'est un être humain, et comme les autres, il est le résultat d'une réaction. Répondre à l'ignorance par l'exclusion, ça génère quel genre de réaction ? On y gagne quoi ? On va ni le tuer ni le bannir, il sera toujours là demain, alors on pourrait essayer de communiquer autrement, c'est tout.

avatar Malum | 

Désolé une société se défend en essayant de mettre à l'écart les nuisibles. Lui c'est un nuisible. Tout le monde il est beau, il est gentil c'est toujours valable pour les belles âmes et les boudhistes bien moins pour les victimes.
Et il est du devoir de tous de corriger les inepties et ce d'autant plus quand au bout il y a soit de la diffamation soit des mensonges aux effets néfastes. Votre théorie profite donc aux salopards au détriment de leurs victimes du côté desquelles je préfère être quitte à être considéré comme l'intolérant brutal de service à l'esprit étroit, mon Père.

avatar getnuts | 

La théorie c'est que tous ces "salopards" ont été créé par la frustration... Qu'il n'y a pas de méchant et de gentil, mais que des gentils et des gentils frustrés. Le simple fait de comprendre que personne n'est celui qu'il a choisi d'être, devrait suffire à ne pas accabler les "salopards" plus qu'ils ne l'ont déjà été. Mais je n'ai pas dit qu'il ne fallait pas partager sa vérité et corriger ce qui nous semble être une ineptie, simplement le faire dans la tolérance et le respect pour ne pas créer davantage de frustration. Voilà tout. J'espère avoir été clair.

avatar ludobubner | 

 @getnuts
Sage réponse. Il est rare de lire des paroles éclairés dans les commentaires d'articles.
Bonne journée à vous.

avatar sachouba | 

@Bigdidou :
"Quand il se met à faire ds tartines de médecine ou de psychologie, c'st à se taper le cul par terre, et la tête contre les murs"

Le problème, c'est que dans bien des cas, ce n'est pas plus pertinent quand il digresse sur la physique, l'électronique ou l'énergie.
En fait, je me demande s'il y a un domaine dans lequel il ne dit pas de bêtises...

avatar Bigdidou | 

@sachouba

"Le problème, c'est que dans bien des cas, ce n'est pas plus pertinent quand il digresse sur la physique, l'électronique ou l'énergie.'

La dessus je te fais bien volontiers confiance, mais je suis pas capable d'en juger par moi même ;)

avatar C1rc3@0rc | 

@Bigdidou
@sachouba
@iPop
...

Merci de votre soutien inconditionnel et de votre attachement a lire chacun de mes commentaires, je suis flatté et reconnaissant de tant de sollicitude.

Ceci dit, il serait parfois bénéfique pour vous d’écrire des commentaires en rapport avec le sujet et présentant au moins un argumentaire consistant, cohérent et apportant quelque chose de positif au sujet de l'article.
C'est pas que vos commentaires relatant vos réactions purement émotionnelles soient sans intérêt, mais pour cela la composition poétique est plus pertinente...

avatar C1rc3@0rc | 

@ludobubner

«Des gens encore ignorants ou assez bêtes ?
Je travaille dans une université. Nous sommes forcés d'utiliser Flash pour noter les présences des élèves, les relevées de notes... C'est un incontournable. Leur plate-forme est construite ainsi.»

Deja ma phrase c'est «Apres s'il y a des gens encore ignorants ou assez betes pour installer Flash alors que...»
L'ignorant ou d’imbécile c'est celui qui s'obstine a vouloir installer Flash alors que tout l'en dissuade. Donc il faut lire ce qui est écrit (et le citer) et ne pas attribuer un sens opposé ou même différent.

Si tu es forcé c'est que tu n'as pas le choix et par conséquent c'est celui qui choisi (et ici qui impose) qui est responsable, et de fait qui est l'abruti dans l'histoire.

Mais tu as raison de citer ton exemple car il est représentatif.

Typiquement ici tu subis l’imbécilité et l'irresponsabilité d'une hiérarchie qui est incompétente et qui met en péril les informations de l'entité en imposant un outil aberrant.

Ça ne m’étonne pas d'ailleurs, car dans le secteur public (mais dans le privé c'est guère mieux), des conneries inqualifiables imposées par l'administration tutélaire c'est loin d’être rare et j'en ai vu des salées dans le secteur.

C'est d'ailleurs un sacré problème car lorsque les données sont compromises, le premier accusé c'est l'utilisateur final... alors que typiquement la pleine responsabilité est celle de la hiérarchie qui met en péril le fonctionnement de l'entité en forçant a utiliser un outil représentant a la fois un danger massif en terme de sécurité mais également une aberration en terme de ressources.

Je sais pas de quelle sorte d'université tu parles, mais concernant le secteur universitaire commun il y a deux éléments aggravants le niveau de betise et d'irresponsabilité du décisionnaire:
- l'existence de directives européennes qui imposent l'utilisation de logiciels libres dans le secteur public et l’éducation en particulier
- l'existence de sections/poles informatiques dans l’université...

Certes cela peut être une université ayant un domaine très restreint et totalement étranger a l'informatique.
Mais dans les autres cas, il y a des professeurs d'informatique - ne se gênant pas pour trouver des adjectifs fleuris pour évoquer Flash - et surtout des étudiants sachant très bien "tester" la sécurité du système d'informations...

Pour revenir finalement sur Flash et la raison pour laquelle il représente un tel danger et se voit éliminé: c'est très simple, il est farci, mais archi farci, de failles majeures (conception et realisation) qui permettent de faire des dégâts considérables et de compromettre l'OS et les applications a tout un ensemble de niveaux.

De plus les exploitations malicieuses permises par Flash sont multiplate-formes et demandent un faible niveau de compétences. Et beaucoup d'outils d'exploitation pullulent dans les bas fond du Web.
Et le pire c'est que cette usine a gaz est tout simplement impossible a sécuriser...

Un autre problème vient du principe d'installation de Flash: n'importe quel malware peut se faire passer pour l'installateur de Flash. Que l'utilisateur soit victime de phishing ou d'autres méthodes, le résultat est la et dramatique!

Les deux autres problèmes de Flash c'est d'une part un goinfre en terme d’énergie et d'autre part qu'il viole la quasi-totalité des principes du Web.

avatar huexley | 

"n'importe quel malware peut se faire passer pour l'installateur de Flash"

Ahah, c'est de la merde Flash car il y en a qui usurpe son identité, c'est hilarant tes exemples.

avatar iPop | 

@C1rc3@0rc

Tu as oublié :
Que les gens ne font pas de sauvegarde, vont sur Facebook, etc..

avatar iapx | 

+1

avatar horizon | 

Et oui il y a des gens assez bêtes !
Ou plutôt, qui dans la précipitation, n’ont pas fait attention l’espace d’un instant.
C’est exactement ce qu’il m’est arrivé avec ce Malware il y a un mois.
Restons humble face à ce genre de d’expérience et merci à MacG de nous tenir à jour (trop tard pour moi ..)

avatar Moonwalker | 

« dans la précipitation » de quoi ? De voir un film de boules ?

Ces faux flash ne se trouvent que sur les sites « border line », téléchargements illégaux et streaming.

Je ne critique pas la fréquentation de tels sites, je trouve simplement plus que léger d’installer un logiciel parce qu’une fenêtre apparue entre deux images de cul (ou autres) vous le conseille fortement.

Flash, pour ceux qui en ont besoin, il y a une adresse officielle : https://get.adobe.com/fr/flashplayer/

On la met dans ses signets et on ne va nulle part ailleurs.

Il suffit ensuite de passer par les Préférences Système pour mettre à jour.

avatar colossus928 | 

@Moonwalker

Pas faux mais un point m'intrigue pourquoi la mettre dans les signets ?
Une fois installé, rien à faire.

avatar smog | 

Je suppose que c'est parce qu'il faut faire des mises à jours toutes les semaines tellement le truc ne tient pas la route.

avatar C1rc3@0rc | 

@Moonwalker

Tu as en grande partie raison, mais Flash est insidieux et les exploitations de Flash ou les malwares qui se font passer pour son installateur sont sournois.

Tu peux simplement ouvrir une page Web qui va t'afficher un message typique: «votre version de Flash est trop ancienne, cliquez sur Installer pour la mettre a jour»

Certes, ce type d'attrape-couillon fait l'objet de campagnes d'information incessantes et on peut se poser la question de l'etat de (in)conscience de l'utilisateur qui va ainsi lancer le malware.

Mais il n'en demeure pas moins que c'est bien le principe déficient de Flash qui permet de mettre en place ces pièges a con.
Dans le fond Flash c'est comme un parasite qui dénature les principe du Web, s'installe dans un navigateur et altère en profondeur son fonctionnement.

Et si on a vraiment pas le choix et que l'on doit subir des sites bâclés en Flash il existe une solution qui limite un peu l'ampleur des dégâts: utiliser Chrome!

Vu que Chrome embarque un lecteur Flash qu'il tient a jour automatiquement, jamais l'utilisateur ne doit utiliser l'installateur de Flash.Et si on utilise Chrome est que l'on tombe sur le piege a con qui alerte sur la vétusté du lecteur Flash du navigateur, c'est que c'est forcement un malware!!!

Alors ça met pas a l'abri des exploitations malicieuses permises par Flash, mais au moins on n'est pas exposé au malware qui se font passer pour l'installateur de Flash!

Pages

CONNEXION UTILISATEUR