Doctor Web — produttore del software antivirale Dr.Web — avverte che dall’inizio di quest’anno emergono sempre più programmi adware progettati per i computer Mac OS X. Una di tali applicazioni malevole è Trojan.Yontoo.1, un downloader che installa sul Mac infetto un’estensione per i browser più popolari finalizzata alla visualizzazione di pubblicità.
Il team di Doctor Web ha osservato che dall’inizio 2013 sono apparse molteplici applicazioni malevole di pubblicità progettate per diverse piattaforme, compresa Mac OS X. Utilizzando queste applicazioni, i malintenzionati possono guadagnare aderendo a “programmi di affiliazione” di network pubblicitari. Di giorno in giorno cresce il loro interesse verso gli utenti dei computer Apple. Di conseguenza, i pirati informatici creano programmi che possono girare sotto Mac OS X, tra cui si segnala Trojan.Yontoo.1 scoperto di recente.
Questo trojan si intrufola sul computer vittima in diversi modi. In particolare, ai fini di diffondere l’applicazione, i malintenzionati creano pagine web di annuncio di film che visualizzano un messaggio, mascherato da un avviso di sistema, comprendente una proposta di installare un plugin per il browser. In realtà, questo messaggio è solo un’imitazione di una vera barra di un browser che informa l’utente di un’estensione disponibile. Così la vittima viene ingannata e, una volta cliccato il pulsante “Install the plug-in”, il browser viene reindirizzato su un sito malevolo da cui si scarica l’applicazione conosciuta dai programmi Dr.Web come Trojan.Yontoo.1.

Una volta avviato, Trojan.Yontoo.1 visualizza una finestra di dialogo che propone all’utente di installare l’applicazione Free Twit Tube.
Se l’utente fa clic sul pulsante “Continue”, invece del programma descritto nella finestra di dialogo, si scarica e si installa il plugin Yontoo ideato per i browser più usati dai proprietari dei computer Mac OS X, quali Safari, Chrome e Firefox. Questo plugin trasmette a un server remoto le informazioni sulle pagine web visitate dall’utente. Le informazioni si trasmettono in modalità di background appena l’utente ha aperto una pagina nel browser.

Nessun commento:
Posta un commento