Pour trouver et supprimer le logiciel malveillant, vérifiez la liste des processus en cours dans Activity Monitor (ou ps aux à partir de la ligne de commande). Dans mon cas, il y avait plusieurs processus fonctionnant sous Root nommés "GlobalSearch", et des variantes de ceux-ci.
En prenant l'identifiant du processus (également connu sous le nom de pid. par exemple la valeur 305) et en exécutant lsof -p 305 Je pouvais voir à quels fichiers du système de fichiers on accédait.
Cela m'a conduit à un script Python qui se trouvait à l'adresse suivante /var/root/.GlobalSearch - un dossier caché sous l'utilisateur Root.
sudo rm -rf /var/root/.GlobalSearch supprime le dossier caché et tout son contenu.
À ce stade, les processus ont disparu du moniteur d'activité, mais Safari (et d'autres applications système) n'ont pas pu accéder à Internet.
J'ai ensuite découvert que ce malware avait configuré un proxy socks afin d'envoyer tout le trafic web vers le script Python. Ouvrir System Preferences -> Network -> Advanced -> Proxies et décochez la case Socks Proxy.
Je pense que le vecteur d'attaque était un faux programme de mise à jour Adobe Flash qui incitait l'utilisateur à saisir son mot de passe d'administrateur après avoir téléchargé le programme d'installation.
EDIT : J'ai également lancé EtreCheck qui a trouvé plusieurs fichiers que j'ai manqués. Si vous avez ce problème, récupérez et exécutez EtreCheck.
J'ai supprimé les éléments suivants :
/Library/Application Support/com.GlobalQuestSearchDaemon//Users/username/Library/Application Support/com.GlobalQuestSearch/
