Il y a une décennie, les Macs étaient encore des appareils quasiment dépourvus de malwares. Il n’y avait aucune menace suffisamment puissante pour contourner l’autorisation des utilisateurs et les systèmes de protection intégrés. Si l’on compare à aujourd’hui, la situation a radicalement changé. Les machines sous macOS sont continuellement submergées d’adwares, faux utilitaires d’optimisation, ainsi que d’autres menaces plus intrusives telles que les mineurs de cryptomonnaies et les ransomwares. Ces deux premières catégories sont celles qui font le plus d’ombre aux autres.
Search Marquis est un très bon exemple, celui-ci pirate le navigateur en interceptant et recréant tout le trafic web de la victime de manière forcée. Tout comme un autre mauvais redirecteur de la même sorte se nommant Search Baron, il impose des paramètres pour rediriger toute l’activité internet de la victime dans un premier temps vers searchmarquis.com, puis vers une série d’URLs incluant searchbaron.com et us-west.2.elb.amazonaws.com, jusqu’à arriver vers la page de destination.
Contrairement à ce que l’on pourrait penser, la page de destination n’est pas un site exploitant des failles de sécurité ou comportant des entités malveillantes. À la place, c’est une page web tout à fait normale et dont la fiabilité n’est même pas à remettre en question. Croyez-le ou non, le virus Search Marquis redirige vers les résultats de recherche de bing.com à chaque fois que la victime effectue des recherches depuis sa barre de recherches. Par ailleurs, l’infection se manifeste de la même façon sur Safari, Google Chrome et Mozilla Firefox. L’intégration de services connus dans les systèmes de redirection de trafic malveillants se fait depuis bien longtemps. Un autre exemple du même style est la fausse redirection vers Yahoo, qui a elle aussi fait des ravages dans l’écosystème d’Apple pendant de nombreuses années. Quel est l’intérêt ? L’une des raisons pour lesquelles les escrocs intègrent des services de recherche connus dans leur système est que l’attaque semble moins douteuse. Une autre théorie est que rediriger le trafic vers des services de recherches permet aux malfaiteurs de gagner de l’argent grâce à une sorte d’affiliation.
Ceci dit, le fonctionnement de l’attaque Search Marquis porte essentiellement sur la redirection de la navigation web de l’utilisateur Mac d’une manière bien spécifique. Tout l’intérêt réside dans les adresses de transitions qui s’affichent rapidement dans la barre URL d’un navigateur infecté lors de chaque redirection. Ces pages sont pour la majorité intégrées avec des réseaux de monétisation qui permettent de rémunérer chaque visite, surtout celles provenant des ordinateurs Mac qui sont considérés comme haut de gamme. Pour résumer, l’attaque va, de façon ennuyeuse, causer la redirection intempestive de l’activité du navigateur web de la victime vers serachmarquis.com puis vers bing.com à travers de nombreux sites transitoires.
Bien que la redirection d’activité internet du navigateur soit la facette principale de Search Marquis, l’ampleur de son exploitation est plus conséquente. Afin de persister dans macOS, le virus crée ce qui s’appelle un profil de configuration, ou profil d’appareil, dans les Préférences Système. Cette entrée nommée aléatoirement permet de prendre le contrôle de l’activité web en s’assurant que les mauvais paramètres de recherche persistent même si la victime les modifie manuellement.
Une autre facette de l’attaque est l’émergence d’alertes pop-up qui disent que « Votre ordinateur n’a plus assez de mémoire. Pour libérer de la mémoire, veuillez fermer quelques applications ». Cela est fait pour vous induire en erreur et promouvoir d’autres malwares. Tout particulièrement, ces applications douteuses étant promues par des messages trompeurs sont des scarewares – de plus, ces pop-ups peuvent vous alerter sur le fait qu’un virus est déjà présent et actif sur votre ordinateur. Celui-ci a pu infecter le Mac avec Search Marquis. Quelques exemples de pseudo-logiciels d’optimisation sont Advanced Mac Tuneup, Mac Cleanup Pro, et Mac Auto Fixer. Les alertes de mémoire insuffisante sont utilisées pour faire croire que le système a besoin d’un boost de performance, et « l’outil » permettant de le faire qui est recommandé par ces alertes est un faux.
Les malfaiteurs derrière cet outil pirate de navigateur font usage d’une technique de distribution bien rodée. La source la plus commune de cette infection vient de l’infiltration de ce virus lors de l’installation d’autres applications semblant fiables. Ces parasites ne sont pas mentionnés dans les écrans d’installation, et bien évidemment les utilisateurs acceptent la totalité de l’installation pensant que le logiciel principal affiché durant l’installation est le seul qui soit installé.
L’un des stratagèmes qui fonctionne le mieux est la fausse alerte de mise à jour d’Adobe Flash Player. Elle s’appuie sur la même apparence que les vraies alertes de mise à jour – entre autres, les alertes pop-up proposant une nouvelle version. Les auteurs de ce virus ont appris à imiter ces alertes pop-up. Elles apparaissent sur des sites web, qu’ils soient compromis ou spécialement conçus pour être malveillants, et répandent des autres virus comme Search Marquis à travers de fausses notifications de mise à jour Flash Player. Ensuite, l’application potentiellement indésirable (PUA) modifie les paramètres du navigateur sans autorisation et provoque un florilège de redirections.
Le virus Search Marquis ne devrait désormais plus causer d'ennuis à votre Mac. Soyez informés que votre navigateur par défaut peut toujours être redirigé vers des pages douteuses jusqu'à que vous modifiez ses paramètres (la procédure de réinitialisation sera décrite plus bas).
Bien que cette menace se manifeste uniquement dans le navigateur web, elle laisse une empreinte dans le système pour continuer de sévir. La sous-section ci-dessous va vous aider à trouver et effacer manuellement tous les composants du virus Search Marquis manuellement. Gardez en tête que certains de ses fichiers se trouvent de façon évidente, tandis que certains peuvent être cachés, dans ce cas le nettoyage est plus compliqué à faire qu'une habituelle désinstallation de logiciel.
Heureusement, vous n'avez pas besoin de refaire le monde pour retirer toutes les traces et perturbations qu'a laissé le virus Search Marquis dans votre navigateur. Une technique testée et approuvée consiste à réinitialiser le navigateur web à ses paramètres par défaut. À titre d'information, Apple a retiré le bouton « Réinitialiser Safari » depuis la sortie de la version 9 du navigateur en 2015, la procédure est donc un petit peu plus complexe qu'un simple clic (voir ci-dessous). Peu importe, voici une façon simple de purger le navigateur web le plus célèbre de toute trace malveillante.
Les symptômes isolés du navigateur sont la partie émergée de l'iceberg. Search Marquis et son malware associé peuvent faire leur empreinte dans le Mac en dehors de son activité de redirection. L'inconvénient de la suppression manuelle est qu'il peut rester des traces cachées de l'infection qui vont la réinstaller après ce qui semble être un bon nettoyage. Ce n'est pas toujours le cas, mais vous devriez sûrement refaire une vérification.