22 giugno 2015

Di recente sono stati scoperti molti casi di diffusione dei programmi malevoli o potenzialmente rischiosi rivolti contro il sistema operativo Mac OS X. Gli analisti dei virus della società "Doctor Web" segnalano una crescita del numero di varie applicazioni di pubblicità e di installazione per computer Apple - questo è connesso in gran parte alla comparsa di nuovi partner program che sono orientati anche agli utenti di Mac OS X. Uno di tali programmi distribuisce i trojan classificati come Trojan.Crossrider.

L'installer di applicazioni pubblicitarie e indesiderate, aggiunto al database dei virus Dr.Web come l'Adware.Mac.MacInst.1, è stato creato con utilizzo delle risorse del partner program di monetizzazione di applicazioni macdownloadpro.com. I siti dei numerosi "partner" di questo sistema di regola "pullulano" di annunci, aprono automaticamente schede addizionali, mentre ai visitatori viene offerto di scaricare qualche applicazione "utile" o un file di musica MP3 attraverso un'installer insicuro. In alcuni casi lo scaricamento dell'installer viene effettuato con il reindirizzamento dell'utente verso una pagina web corrispondente.

L'immagine dell'installer Adware.Mac.MacInst.1 ha una struttura molto particolare: contiene due directory nascoste che non verranno visualizzate su un computer con le preferenze standard del sistema operativo, se l'utente decide di vedere i contenuti del file DMG nel programma Finder.

La directory dell'applicazione contiene un file binario che avvia il programma di installazione e una sottodirectory in cui sono locati un'immagine con il logo di quest'applicazione e un file di configurazione cifrato. L'installer visualizza sullo schermo del computer una finestra in cui prima vengono visualizzate le informazioni circa il file richiesto dall'utente - quello che voleva scaricare inizialmente.

Dopo che l'utente ha fatto clic sul pulsante "Next", l'installer mostra un'offerta di partner che implica che oltre al file richiesto vengano installati componenti addizionali.

Se l'utente fa clic sul link "Decline", appena visibile nella parte inferiore della finestra, verrà installato solo il file richiesto inizialmente, però se preme il pulsante "Next", insieme al file il programma di installazione scarica da Internet e installa sul computer un altro software che l'Antivirus Dr.Web rileva come il Trojan.Vindinstaller.3.

Questo software, a sua volta, installa sul computer le estensioni malevole per i browser Safari, Firefox e Chrome, che il nostro antivirus rileva come i trojan della famiglia Trojan.Crossrider. Tutti i componenti scaricati da Internet vengono copiati dall'Adware.Mac.MacInst.1 nella directory "~/Library/Application Support/osxDownloader".

Le firme antivirali dei programmi malevoli sopraccitati sono già presenti nei database dei virus dell'Antivirus Dr.Web per Mac OS X, quindi questi malware non rappresentano alcun rischio per gli utenti del nostro prodotto.