Selon les experts du cabinet de sécurité Intego, MacGuard est plus dangereux que MacDefender et de plusieurs variantes antérieures, comme Ma Protector et MacSecurity, car le logiciel ne nécessite pas de mot de passe administrateur pour s'installer. Même si la procédure d'attaque est légèrement différente, le but du malware reste le même : obtenir des victimes des informations concernant leur carte de crédit. Initialement, la visite d'un site infecté déclenche automatiquement le téléchargement d'un fichier qui s'installe sur le Mac.
Notamment pour ceux qui ont choisi l'option « Ouvrir automatiquement les fichiers fiables » dans les préférences de téléchargement de Safari, le processus d'installation démarre automatiquement et le programme avRunner est installé sur le Mac. C'est alors qu'il télécharge un deuxième groupe de fichiers à partir d'un domaine appartenant aux cybercriminels à l'origine de l'attaque, non sans avoir supprimé toute trace des fichiers de l'installation originale. Ce deuxième fichier comporte le pack MacGuard, qui va également s'installer lui-même automatiquement. C'est là qu'il demande alors des informations de carte bancaire à l'utilisateur Mac pour débarrasser sa machine du fichier infecté.
Attention aux options de Safari
Intego recommande en premier lieu de décocher l'option « Ouvrir automatiquement les fichiers fiables » dans les préférences de téléchargement de Safari et prévient de fermer immédiatement le navigateur s'il affiche un site qui ressemble à la fenêtre du Finder de Mac OS X. Dans le cas où le programme d'installation démarre, Intego recommande de le quitter immédiatement et de chercher dans le dossier « Téléchargements » tous les fichiers inconnus et de les supprimer.
En début de semaine, Apple a promis de livrer une mise à jour de Mac OS X capable de trouver et de supprimer les variantes du malware Mac Defender sur Mac, et qui avertira aussi dans le cas où le fichier tente de se télécharger insidieusement. « Dans les prochains jours, Apple fournira une mise à jour de Mac OS X qui trouvera et supprimera automatiquement le malware Mac Defender et ses variantes connues, » a déclaré Apple dans un communiqué. « La mise à jour permettra également de protéger les utilisateurs par un système d'alerte explicite dans le cas où ils téléchargeraient ce logiciel malveillant, » poursuit le communiqué.
Sur le forum de son support technique, Apple explique également aux utilisateurs infectés comment procéder pour éliminer les scarewares. Chester Wisniewski, chercheur chez Sophos, a des doutes sur l'approche choisie par Apple pour résoudre ce problème. Selon lui, les cybercriminels peuvent simplement continuer à créer d'autres variantes pour contourner les défenses mises en place par Apple. « Est-ce qu'Apple va développer son propre logiciel anti-virus ? » demande t-il. « La rapidité avec laquelle de nouvelles variantes peuvent être diffusées nécessite un mode de développement et de mise à jour de logiciels très différent de celui auquel Apple est habitué. »