Les chercheurs en sécurité de Malwarebytes sont tombés sur une arnaque (« scam ») pas banale liée à PCVARK, un éditeur bien connu pour ses crapwares comme Mac Adware Cleaner, Mac Adware Remover ou Advanced Mac Cleaner. C’est justement en surfant sur la page de ce dernier que Thomas Reed, le chercheur en question, s’est vu proposer de télécharger une « mise à jour de sécurité ». Celle-ci installe un logiciel du nom de Mac File Opener ; mais étonnamment, ce dernier ne peut pas être lancé, l’application restant là sans rien faire.
Ce n’est qu’après avoir un peu fouillé dans le fichier Info.plist que l’on comprend à quoi « sert » ce logiciel. Il permet d’ouvrir 232 types de documents aux extensions les plus exotiques. Lorsque l’on double-clique sur un document sans posséder l’application qui permet d’ouvrir le fichier, OS X affiche une boîte de dialogue proposant de choisir une application capable d’ouvrir le document, ou de rechercher une application sur le Mac App Store :
Après installation, Mac File Opener prend la main sur le système et affiche une nouvelle boîte de dialogue :
L’œil exercé de l’utilisateur Mac aguerri repérera rapidement le pot aux roses : l’option Choose application est grisée, empêchant ainsi de sélectionner un logiciel pour ouvrir le fichier en question ; l’interface présente des bizarreries qui ne correspondent pas aux canons habituels d’OS X ; et puis le bouton Search Web ne lance pas de recherche Google (ce qui serait déjà bizarre), mais directement le site macfileopener[.]com.
Le site en question contient tous les pourriciels de PCVARK qu’on s’abstiendra absolument d’installer. Pour faire bonne mesure, la page présente au bout d’un moment une alerte équivoque :
Les nouveaux venus sur OS X pourront se laisser berner par la (fausse) fenêtre de dialogue. Et ils ne pourront pas suspecter quoi que ce soit de mal, puisque les logiciels de cet éditeur sont signés d’un certificat Apple en bonne et due forme. Même si dans le cas qui nous occupe, le certificat de Mac File Opener appartient à Techyutils Software Private Limited, et non pas à PCVARK software Private Limited. Le scam provient pourtant bien de PCVARK.
Source : 9to5Mac
