Doctor Web — produttore del software antivirale Dr.Web — avverte che dall’inizio di quest’anno emergono sempre più programmi adware progettati per i computer Mac OS X. Una di tali applicazioni malevole è Trojan.Yontoo.1, un downloader che installa sul Mac infetto un’estensione per i browser più popolari finalizzata alla visualizzazione di pubblicità.
Il team di Doctor Web ha osservato che dall’inizio 2013 sono apparse molteplici applicazioni malevole di pubblicità progettate per diverse piattaforme, compresa Mac OS X. Utilizzando queste applicazioni, i malintenzionati possono guadagnare aderendo a “programmi di affiliazione” di network pubblicitari. Di giorno in giorno cresce il loro interesse verso gli utenti dei computer Apple. Di conseguenza, i pirati informatici creano programmi che possono girare sotto Mac OS X, tra cui si segnala Trojan.Yontoo.1 scoperto di recente.
Questo trojan si intrufola sul computer vittima in diversi modi. In particolare, ai fini di diffondere l’applicazione, i malintenzionati creano pagine web di annuncio di film che visualizzano un messaggio, mascherato da un avviso di sistema, comprendente una proposta di installare un plugin per il browser. In realtà, questo messaggio è solo un’imitazione di una vera barra di un browser che informa l’utente di un’estensione disponibile. Così la vittima viene ingannata e, una volta cliccato il pulsante “Install the plug-in”, il browser viene reindirizzato su un sito malevolo da cui si scarica l’applicazione conosciuta dai programmi Dr.Web come Trojan.Yontoo.1.
I malintenzionati hanno inventato più metodi di propagazione di questa minaccia. Per esempio, la vittima potrebbe scaricarla sotto forma di un lettore multimediale, un programma di miglioramento di qualità video o un acceleratore di download ecc.Una volta avviato, Trojan.Yontoo.1 visualizza una finestra di dialogo che propone all’utente di installare l’applicazione Free Twit Tube.
Se l’utente fa clic sul pulsante “Continue”, invece del programma descritto nella finestra di dialogo, si scarica e si installa il plugin Yontoo ideato per i browser più usati dai proprietari dei computer Mac OS X, quali Safari, Chrome e Firefox. Questo plugin trasmette a un server remoto le informazioni sulle pagine web visitate dall’utente. Le informazioni si trasmettono in modalità di background appena l’utente ha aperto una pagina nel browser.
Per risposta, l’estensione Yontoo riceve dal server remoto dei malintenzionati un file speciale che consente di incorporare diversi moduli pubblicitari nelle pagine web visitate dall’utente. L’immagine sottostante è un esempio di come il browser visualizza il sito apple.com su un computer infetto. 
Tali estensioni per browser vengono identificate dal software antivirale Dr.Web come Adware.Plugin. Va notato che gli stessi metodi di propagazione di questa minaccia vengono utilizzati dai pirati informatici anche per infettare computer Windows.
Nessun commento:
Posta un commento