Dr.Web: Рекламный установщик для Mac OS X распространяет троян

Dr.Web: Рекламный установщик для Mac OS X распространяет троян

Установщик содержит две скрытые папки, которые не будут отображаться на компьютере со стандартными настройками ОС.

ИБ-исследователи из компании «Доктор Веб» сообщают о росте числа различных рекламных приложений и установщиков для компьютеров Apple. Очередная подобная программа была  замечена  за распространением трояна семейства Trojan.Crossrider (по классификации Dr.Web).

Установщик нежелательных и вредоносных программ для операционной системы Mac OS X был создан с использованием ресурсов программы для монетизации приложений macdownloadpro.com. В настоящее время в распространении установщика участвуют 900 web-сайтов.

Установщик содержит две скрытые папки, которые не будут отображаться на компьютере со стандартными настройками ОС, если пользователь решит просмотреть содержимое DMG-файла в программе Finder.

Сама директория расположения приложения содержит двоичный файл, запускающий программу-установщик, и папку, в которой размещено изображение с логотипом данного приложения и зашифрованный конфигурационный файл. Сам установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.

После нажатия на кнопку «Next» установщик демонстрирует предложение, подразумевающее, что помимо требуемого файла программа установит и некоторые дополнительные компоненты.

В случае, если пользователь нажмет на ссылку «Decline» в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако после нажатия на кнопку «Next» вместе с ним программа загрузит и запустит другое вредоносное ПО, устанавливающие на компьютер жертвы вредоносные надстройки для браузеров Safari, Firefox и Chrome. Все загруженные из интернета компоненты вредонос копирует в папку "~/Library/Application Support/osxDownloader".

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!