Рекламный установщик для Mac OS X распространяет троянца

Сообщения о распространении новых вредоносных и потенциально опасных программ для операционной системы Mac OS X в последнее время стали появляться все чаще. Вирусные аналитики компании «Доктор Веб» отмечают рост числа различных рекламных приложений и установщиков для компьютеров Apple.

Не в последнюю очередь это связано с появлением новых партнерских программ, в том числе ориентированных и на пользователей Mac OS X. Очередная подобная программа была замечена за распространением троянцев семейства Trojan.Crossrider.

Установщик рекламных и нежелательных приложений, добавленный в вирусные базы Dr.Web под именем Adware.Mac.MacInst.1, был создан с использованием ресурсов партнерской программы для монетизации приложений macdownloadpro.com. Сайты многочисленных «партнеров» этой системы, как правило, кишат различной рекламой, автоматически открывают дополнительные вкладки, а сам установщик посетителям предлагается скачать под видом какого-либо «полезного» приложения или даже музыкального MP3-файла. В некоторых случаях загрузка установщика осуществляется с использованием автоматического перенаправления пользователя на соответствующую веб-страницу.

Образ установщика Adware.Mac.MacInst.1 имеет весьма примечательную структуру: он содержит две скрытые папки, которые не будут демонстрироваться на компьютере со стандартными настройками операционной системы, если пользователь решит просмотреть содержимое DMG-файла в программе Finder.

Сама директория расположения приложения содержит бинарный файл, запускающий программу-установщик, и папку, в которой размещено изображение с логотипом этого приложения и зашифрованный конфигурационный файл. Сам установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.

screen

По нажатии на кнопку «Next» установщик демонстрирует партнерское предложение, подразумевающее, что помимо требуемого файла программа установит и некоторые дополнительные компоненты.

screen

Если пользователь нажмет на едва заметную ссылку «Decline» в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако по нажатии на кнопку «Next» вместе с ним программа скачает из Интернета и запустит другую программу, детектируемую Антивирусом Dr.Web как Trojan.VIndinstaller.3.

Это приложение, в свою очередь, устанавливает на компьютер вредоносные надстройки для браузеров Safari, Firefox и Chrome, детектируемые как троянцы семейства Trojan.Crossrider. Все скачанные из Интернета компонентыAdware.Mac.MacInst.1 копирует в папку "~/Library/Application Support/osxDownloader".

screen

screen

screen

Сигнатуры всех упомянутых вредоносных программ уже имеются в базах Антивируса Dr.Web для Mac OS X, в связи с чем они не представляют угрозы для пользователей этого продукта.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Оператор фейковой техподдержки Microsoft похитил у жертв $3 млн

Житель штата Северная Каролина обвиняется в организации мошеннической схемы, которая была замаскирована под деятельность техподдержки. Злоумышленнику за четыре года удалось обмануть американских граждан на общую сумму в $3 миллионов.

Согласно судебным документам, 24-телний Бишап Миттал создал компанию Capstone Technologies LLC, от лица которой вместе с подельником управлял множеством сайтов и операций.

Миттал с напарником покупали рекламу у Google и Bing, чтобы продвигать свои сайты в результатах поисковой выдачи. Также они приобрели у разработчиков авдаре доступ к всплывающим окнам.

Когда пользователь посещал их сайт, агрессивные рекламные окна блокировали браузер жертвы, утверждая, что компьютер заражен вредоносными программами. Большинство этих всплывающих окон были замаскированы под отправленные Microsoft уведомления.

Жертвам предлагалось связаться с техподдержкой. Согласно обвинительному заключению, пользователей соединяли с колл-центром, расположенным в Нью-Дели, Индия.

Операторы этого колл-центра действовали по отработанным сценариям, утверждая, что компьютер пользователя дает сбои из-за использования двух антивирусных программ в системе.

Чтобы устранить все проблемы, пользователи должны были заплатить суммы от $200 до $2 400. Деятельность преступников происходила в период с ноября 2014 года по август 2018 года.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru