16 aprile 2014

I programmi malevoli ideati per la visualizzazione di pubblicità indesiderata spesso attaccano i pc Windows, comunque di recente Doctor Web ha esaminato alcuni trojan che sono in grado di eseguire azioni non autorizzate sui computer gestiti dal sistema operativo Mac OS X.

Gli utenti di Mac OS X hanno scritto sul sito ufficiale di Apple che nei browser Safari e Google Chrome vengono mostrati banner pubblicitari che non appartengono ai siti visitati a un dato momento. La pubblicità indesiderata viene visualizzata da alcune estensioni (plugin) malevole che si infiltrano nel sistema operativo quando l'utente visita certi siti web. Le estensioni malevole sono incluse anche in alcune applicazioni legittime che eseguono sul computer funzioni utili.

Uno dei programmi si chiama Downlite e viene diffuso dal sito di un torrent tracker popolare. Dopo aver cliccato sul pulsante Download su questo sito, l'utente viene reindirizzato su un altro sito da cui si scarica il programma stesso. Il sito maligno è in grado di riconoscere il sistema operativo dell'utente e distribuisce ai computer Mac il file StartDownload_oREeab.dmg — ovvero il programma di installazione di Downlite, mentre gli utenti degli altri sistemi operativi potrebbero essere reindirizzati su ulteriori siti web. Dopo che l'installer si è scaricato sul Mac, inizia l'installazione del programma Downlite.app begins.

Il programma di installazione (identificata dall'Antivirus Dr.Web come Trojan.Downlite.1) ha una caratteristica particolare: installa l'applicazione legittima DlLite.app e alcune estensioni del browser e durante l'installazione richiede la password dell'utente di Mac OS X, e se l'utente è amministratore, installa le applicazioni nella cartella radice. Per fa girare DlLite.app è necessaria la disponibilità di Java, però le estensioni malevole sono scritte nel linguaggio Objective-C e sono operative appena si è aperto il browser. Oltre a queste, viene installata l'applicazione dev.Jack studiata per effettuare il controllo sui browser Mozilla Firefox, Google Chrome, Safari (Dr.Web la classifica come Trojan.Downlite.2.

Le estensioni malevole che mostrano pubblicità sono incluse anche in altri programmi (per esempio MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Vediamo il programma MoviePlayer (MacVideoTunes) che nella prima fase d'installazione propone all'utente di avviare un installer senza la firma digitale:

Quindi il malware propone di installare un programma chiamato "Optimizer", e l'utente non ha la possibilità di rifiutare l'installazione deselezionando il flag corrispondente:

Questo installer, classificato Trojan.Vsearch.8 da Dr.Web, ha le funzioni molto simili a quelle del Trojan.Downlite.1 descritto sopra, ma invece dell'applicazione dev.Jack, installa takeOverSearchAssetsMac.app (Trojan.Conduit.1).

In tutti i casi menzionati, l'installer introduce sul computer infettato il payload realizzato nei file VSearchAgent.app, VSearchLoader.bundle, VSearchPlugIn.bundle, libVSearchLoader.dylib e VSInstallerHelper. Come risultato di queste operazioni, nella finestra del browser compare la pubblicità che può essere nelle seguenti forme:

• una piccola finestra nell'angolo inferiore sinistro dello schermo dotata del pulsante Hide Ad;
• banner visualizzati sulle pagine dei motori di ricerca e su alcuni siti popolari.

Doctor Web consiglia agli utenti del sistema operativo Mac OS X di non scaricare e di non installare applicazioni da origini non affidabili, nonché di utilizzare i programmi antivirus moderni.