Tandis que la cybercriminalité est un domaine ne cessant d’évoluer, il reste des constantes ancrées dans le répertoire des malfaiteurs malgré cette évolution. Le piratage de navigateur est l’un de ces vecteurs d’attaque qui reste invariable. Ce n’est pas du tout une technique destructrice, mais il y a un potentiel de monétisation énorme qui appâte les malfaiteurs. Voici une définition simple de cette exploitation : une application de malfaiteurs accompagnée d’une extension de navigateur engendrant la redirection du trafic web de la victime, multiplié par des réseaux publicitaires cachés derrière un moteur de recherche fiable – donnant lieu à des gains frauduleux.
Search Baron fait partie d’une campagne actuelle massive utilisant la même logique que citée précédemment. Bien qu’il soit souvent identifié comme un virus ou adware, son nom a été inventé par les victimes et chercheurs en se basant sur l’URL qui apparaît dans les navigateurs lors de la redirection. Spécifiquement, ceux qui sont infectés continuent de visiter des sites douteux et des moteurs de recherches qu’ils n’ont jamais voulu, avec SearchBaron.com étant un domaine transitoire. Il est uniquement visible pendant moins d’une seconde mais joue un rôle crucial dans le schéma douteux de cette capture de trafic.
Le premier symptôme de ce piratage est que la possibilité de choisir le service de recherche qu’on veut est retirée à la victime. Chaque entrée tapée sur Google ou dans la barre du navigateur redirige vers SearchBaron.com dans un premier temps puis vers Bing.com à travers une série de réseaux publicitaires transitoires et plateformes de cloud computing telle que Amazon AWS. Il est important de noter que le premier URL de redirection va avoir un certain nombre d’identifiants et sous-identifiants supplémentaires, donnant lieu à une adresse qui suit un format similaire à celui-ci : SearchBaron.com/v1/hostedsearch?pid=[random digits]&subid[random digits]&keyword=[search term]. Vous vous demandez sûrement pourquoi Bing, un organisme officiel et fiable, a pu être ajouté à cette supercherie. C’est un moyen de voiler les effets indésirables de ce stratagème et d’atténuer l’impression terrible que donne tout ce processus de redirections. Pendant ce temps, les malfaiteurs atteignent leur objectif en forçant des redirections instantanées vers des sources d’agrégation de trafic dont ils sont de mèche. Quelle est la fonction de SearchBaron.com dans cette conspiration ? Il est utilisé pour intercepter, distribuer et répartir de manière particulière les activités de navigation internet des victimes sans qu’elles le veuillent. Cela se fait au détriment de l’expérience normale des utilisateurs web, mais les cybercriminels ne s’en soucient aucunement.
Le point de départ de la distribution de cette infection est une technique de co-promotion immorale basée sur le regroupement de logiciels. L’installation groupée de plusieurs applications dans une seule n’est pas forcément quelque chose de malveillant. En principe, c’est une façon pour les développeurs de logiciels de faire des bénéfices en distribuant leurs programmes sans frais. La face grise de cette technique est que les créateurs de malwares peuvent intégrer leurs programmes dans des installateurs de logiciels populaires gratuits. Le piège réside dans le fait que les utilisateurs peuvent ne pas être au courant des autres applications qui sont installées, car l’option d’installation par défaut n’inclut aucune indication les concernant.
Une chose importante à garder en tête est que la peste dont nous parlons ici ne se manifeste pas en tant que Search Baron dans ces installateurs douteux. À l’inverse, la PUA (application potentiellement indésirable) est appelée Spaces. Aussi connu sous le nom de Spaces.app, il s’agit d’un adware Mac célèbre qui garde le contrôle des paramètres de navigateur web d’un utilisateur et surveille les habitudes de recherche en restant activé lors des entrées tapées par celui-ci. Lorsque ce phénomène est identifié, ce programme caché réassigne le moteur de recherche sur SearchBaron.com Ce dernier agit ensuite selon son algorithme de redirection prédéfini, redirigeant vers Bing à travers un certain nombre de services affiliés.
Cet outil pirate relève, de manière générale, plutôt d’une nuisance que d’une réelle menace. Cependant, il est connu pour collecter des PII (informations personnelles identifiables) en tant que sous-produit à l’intérieur de l’ordinateur Mac. Il enregistre les détails du système (version macOS, adresse IP, localisation de l’utilisateur) ainsi que les données utilisateur du navigateur web qui en disent beaucoup sur les habitudes de vie de la victime. Les informations furtivement dérobées incluent les sites visités, les préférences de sites de shopping en ligne, et les mots clés recherchés. Les personnes derrière la campagne Search Baron pourraient également malmener ces statistiques en affichant des pubs malveillantes ciblées, intégrant des attaques de phishing, ou revendre les données à des tiers. Pour résumer, cette infection est clairement une menace pour la vie privée de chacun, bien que cet aspect soit obscurci par les manifestations ennuyantes et visibles sur le navigateur web.
Si ce virus a infecté votre Mac, la meilleure façon de s'en débarrasser est d'utiliser un outil de nettoyage automatique. L'avantage principal de procéder ainsi est que l'application de sécurité va précisément cibler et supprimer tous les fichiers malveillants, incluant les composants cachés qui peuvent être difficiles à trouver et effacer manuellement. MacBooster est une solution parfaite qui rend ce processus facile et rapide. Suivez les étapes ci-dessous afin de profiter de toute la puissance de sa suppression de malware et d'optimisation :
Le virus Search Baron ne devrait désormais plus causer d'ennuis à votre Mac. Soyez informés que votre navigateur par défaut peut toujours être redirigé vers des pages douteuses jusqu'à que vous modifiez ses paramètres (la procédure de réinitialisation sera décrite plus bas).
Bien que cette menace se manifeste uniquement dans le navigateur web, elle laisse une empreinte dans le système pour continuer de sévir. La sous-section ci-dessous va vous aider à trouver et effacer manuellement tous les composants du virus Search Baron manuellement. Gardez en tête que certains de ses fichiers se trouvent de façon évidente, tandis que certains peuvent être cachés, dans ce cas le nettoyage est plus compliqué à faire qu'une habituelle désinstallation de logiciel.
Heureusement, vous n'avez pas besoin de refaire le monde pour retirer toutes les traces et perturbations qu'a laissé le virus Search Baron dans votre navigateur. Une technique testée et approuvée consiste à réinitialiser le navigateur web à ses paramètres par défaut. À titre d'information, Apple a retiré le bouton « Réinitialiser Safari » depuis la sortie de la version 9 du navigateur en 2015, la procédure est donc un petit peu plus complexe qu'un simple clic (voir ci-dessous). Peu importe, voici une façon simple de purger le navigateur web le plus célèbre de toute trace malveillante.
Les symptômes isolés du navigateur sont la partie émergée de l'iceberg. Search Baron et son malware associé peuvent faire leur empreinte dans le Mac en dehors de son activité de redirection. L'inconvénient de la suppression manuelle est qu'il peut rester des traces cachées de l'infection qui vont la réinstaller après ce qui semble être un bon nettoyage. Ce n'est pas toujours le cas, mais vous devriez sûrement refaire une vérification.