Symantec a démonté une version du malware « Flashback.K, »,  soupçonné de détourner les recettes publicitaires de Google. Le logiciel malveillant a mené contre les machines tournant sous le système d'exploitation d'Applel'une des plus importantes campagnes d'attaque jamais vue à ce jour. « Flashback cible spécifiquement les requêtes de recherche effectuées sur Google et, selon la requête de recherche, il peut rediriger les utilisateurs vers une autre page choisie par l'attaquant, laquelle génère des revenus au clic», indique Symantec sur son blog. Quand une personne dont l'ordinateur a été infecté par le malware clique sur une annonce présente dans la page de recherche ou de résultats de Google, Flashback analyse la demande et se substitue à Google pour recevoir l'argent du site web qui paie pour la publicité. Flashback utilise également un identifiant spécial pour l'agent utilisateur ou user agent, qui transmet au site consulté des informations sur l'ordinateur du visiteur, de façon «  à passer la vérification de l'URL effectuée par le site quand les agents utilisateurs ne sont pas reconnus », écrit encore Symantec.

Un Cheval de Troie capable de générer du cash

Le vendeur de solutions de sécurité a analysé ce qui se passait quand un utilisateur cliquait sur une publicité pour des jouets. Le clic pour l'annonce, qui rapport valeur 0,08 dollar, est redirigé vers le site Web affilié aux pirates. « Cette technique a fait perdre des recettes à Google et a rapporté des sommes énormes au gang Flashback », écrit Symantec. Si l'on considère que Flashback a infecté les ordinateurs de milliers d'utilisateurs, on peut estimer le chiffre d'affaires généré à environ « 10 000 dollars par jour», ajoute Symantec.

Pour infecter les ordinateurs Mac, Flashback a utilisé une vulnérabilité critique dans Java, corrigée par Apple début avril, sept semaines après que la faille ait été rendue publique. Dans ce laps de temps, 800 000 ordinateurs auraient été infectés. Le 13 avril, Apple a livré un utilitaire spécial pour supprimer Flashback des ordinateurs éventuellement compromis.