Puper (alias Zlob) est un cheval de Troie bien connu des internautes sous Windows (et, accessoirement, des utilisateurs de MySpace). Il s’installe automatiquement via des pages web infectées, ou via une proposition de téléchargement automatique (un faux codec « nécessaire » pour regarder des vidéos pornographiques gratuites, par exemple).

Ses auteurs viennent désormais d’ajouter à la famille une version Mac OS, qui s’installe en proposant de télécharger un codec au format .dmg, les images disque du Mac. Le pseudo-codec s’appelle MacCodec, et offre une procédure d’installation très traditionnelle pour l’univers du Mac.

L’interface d’installation du cheval Puper pour Mac. Source McAfee.

Bien que les chevaux de Troie et autres malwares soient déjà connus sur Mac, l’arrivée d’un parasite « grand public » tel que Puper, et le fait qu’il soit désormais distribué au bon format en fonction du navigateur de la victime, dénote un intérêt professionnel croissant pour l’exploitation du Mac.

Bien entendu, l’alerte venant d’un éditeur d’antivirus, et ces derniers ayant tout intérêt à approcher le marché (essentiellement vierge !) du Mac, il convient de prendre du recul. Seule une douzaine de sites distribueraient la version Mac de Puper selon l’éditeur lui-même. Et rien n’indique que l’expérience se poursuive si elle ne s’avère pas rentable pour les auteurs de malware.

Il s’agit par ailleurs d’un cheval de Troie, et il a besoin des droits administrateur afin de s’installer : il ne peut y parvenir automatiquement, comme ce serait le cas avec une vulnérabilité du navigateur web sous Windows. En cas d’infection, l’utilisateur serait donc largement plus responsable que Mac OS X !

Attention toutefois à ce que Safari n’ouvre pas automatique les fichiers considérés « sûrs », dont font partie par défaut les images disque .dmg. La fenêtre d’installation apparaîtrait alors, ce qui pourrait ajouter à la confusion et pousser les internautes les plus naïfs à poursuivre l’opération.