И до MacOS добрались...
Рекламный установщик для Mac OS X распространяет троян
Установщик содержит две скрытые папки, которые не будут отображаться на компьютере со стандартными настройками ОС.
ИБ-исследователи из компании «Доктор Веб» сообщают о росте числа различных рекламных приложений и установщиков для компьютеров Apple. Очередная подобная программа была замечена за распространением трояна семейства Trojan.Crossrider (по классификации Dr.Web).
Установщик нежелательных и вредоносных программ для операционной системы Mac OS X был создан с использованием ресурсов программы для монетизации приложений macdownloadpro.com. В настоящее время в распространении установщика участвуют 900 web-сайтов.
Установщик содержит две скрытые папки, которые не будут отображаться на компьютере со стандартными настройками ОС, если пользователь решит просмотреть содержимое DMG-файла в программе Finder.
Сама директория расположения приложения содержит двоичный файл, запускающий программу-установщик, и папку, в которой размещено изображение с логотипом данного приложения и зашифрованный конфигурационный файл. Сам установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.
После нажатия на кнопку «Next» установщик демонстрирует предложение, подразумевающее, что помимо требуемого файла программа установит и некоторые дополнительные компоненты.
В случае, если пользователь нажмет на ссылку «Decline» в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако после нажатия на кнопку «Next» вместе с ним программа загрузит и запустит другое вредоносное ПО, устанавливающие на компьютер жертвы вредоносные надстройки для браузеров Safari, Firefox и Chrome. Все загруженные из интернета компоненты вредонос копирует в папку "~/Library/Application Support/osxDownloader".
©securitylab