Video: How To Remove A Mac Computer Virus, Malware, Spyware, Maintenance, And Cleaning 2020 (December 2024)
Mac OS X-gebruikers die opeens advertenties zien verschijnen op verschillende websites, kunnen worden geïnfecteerd door een advertentie-injecterende Trojan.
'Trojan.Yontoo', een malwarevariant die zich richt op Mac OS X, voor het eerst geïdentificeerd door de Russische antivirusuitrusting Dr. Web, misleidt gebruikers het te downloaden, denkend dat het een andere plug-in of applicatie is. Eenmaal op de computer injecteert de malware advertenties in Safari, Chrome en Firefox. Zoals PCMag.com eerder meldde, wordt gebruikers gevraagd om Yontoo te installeren als browserplug-in op sites die beweren filmtrailers te hosten. Yontoo kan zich ook presenteren als een mediaspeler, downloadversneller of zelfs een "programma voor verbetering van de videokwaliteit".
Wanneer de gebruiker akkoord gaat met het installeren van de applicatie, genaamd "Free Twit Tube", installeert de Trojan een plug-in voor bestaande browsers op het systeem, inclusief Safari, Firefox en Chrome. Yontoo controleert vervolgens de browse-activiteit van de gebruiker en stuurt die informatie terug naar een externe server. De malware ontvangt vervolgens instructies op welke pagina's advertenties moeten worden geïnjecteerd. Op deze manier verzamelt de groep achter de malware advertentievertoningen op vrijwel elke website die ze willen.
"Sommige gebruikers kunnen worden geïnfecteerd zonder het te weten, omdat pop-upberichten en advertenties zo wijd verspreid zijn dat ze geen verdenkingen wekken bij het ongetrainde oog, " vertelde Bogdan Botezatu, senior e-dreigingsanalist bij BitDefender, aan SecurityWatch .
Actuele infectienummers zijn momenteel niet beschikbaar. Aangezien het percentage Mac OS X-gebruikers dat een antivirusoplossing gebruikt, een relatief kleine fractie is, is het moeilijk om te weten hoeveel mensen überhaupt besmet waren, zei Botezatu.
Voor nu, gewoon een affiliate advertentieprogramma
De advertenties zelf zijn niet schadelijk in de zin dat ze geen malware downloaden of softwaregaten exploiteren. Yontoo lijkt ook geen gebruik te maken van eventuele beveiligingslekken in OS X, maar vertrouwt op social engineering om zichzelf op het doelsysteem te installeren.
Het primaire doel van Yontoo is profiteren van affiliate-advertenties op een breed scala aan websites, zei Botezatu. De Trojan infecteert aangesloten banners in de webpagina's die de gebruiker bezoekt, zelfs als die pagina geen advertenties bevat. Banners kunnen op e-comerce-sites verschijnen en de aandacht van de gebruiker trekken. De gebruiker kan op de banner klikken en denken dat het een legitieme advertentie was, en omgeleid worden naar een andere site, en de groep achter de malware wordt betaald als onderdeel van het partnerprogramma.
Dr. Web vond een exemplaar van Apple-gerelateerde advertenties die op de website van Apple werden geïnjecteerd. Botezatu wist niet zeker of dat gewoon toeval was, maar het lijkt erop dat aanvallers daadwerkelijk advertenties targeten op basis van de context van de site en de geografische locatie van de gebruiker.
Het is geen bijzonder geavanceerde malware, maar het feit dat er een stukje code in de browser zit en het monitoren van elk stuk informatie is eng en gevaarlijk, zei Botezatu. Criminelen kunnen hun aanpak op elk gewenst moment wijzigen, en hoewel ze vandaag, morgen, advertenties kunnen injecteren, kunnen ze overschakelen naar het injecteren van exploitcode of gebruikers naar phishing-sites en drive-by-download-aanvalssites leiden. De structuur van de malware kan ook worden aangepast om malvertisements weer te geven of browsercookies te stelen, zei Botezatu.
Het is ook niet beperkt tot alleen Mac OS X, omdat Symantec eerder een Windows-versie van Yontoo heeft geïdentificeerd. Adware voor Mac OS X neemt al enige tijd toe en Mac-gebruikers moeten waakzaam zijn over welke applicaties ze downloaden en installeren, zodat ze zichzelf niet onbedoeld infecteren.