Эксперты «Доктор Веб» обнаружили новое семейство троянов — Mac.Trojan.VSearch, которые атакуют пользователей OS X, а затем шпионят за жертвой и буквально заваливают ее рекламой.

Трояны Mac.Trojan.VSearch распространяются под видом безвредных утилит и программ для OS X (к примеру, Nice Player), так что чаще всего жертва самостоятельно скачивает и устанавливает вредоноса с какого-нибудь сайта с бесплатным ПО.

mac_trojan_vsearch_01

За первую фазу атаки отвечает Mac.Trojan.VSearch.2. Когда пользователь уже запустил установку программы, помимо самого приложения, ему также должны предложить выбрать нужные компоненты из списка. Однако этого не происходит, инсталлятор сразу просит указать папку установки. И хотя окно с выбором компонентов было пропущено, инсталлятор работает таким образом, будто пользователь отметил в пропущенном окне все предложенные варианты. В итоге на машину жертвы попадает троянец Mac.Trojan.VSearch.4, а также ряд других опасных и нежелательных программ, в частности, MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) и Mac.Trojan.Conduit.

Вторая фаза атаки осуществляется Mac.Trojan.VSearch.4: троян связывается с командным сервером и скачивает оттуда специальный скрипт, который подменяет в настройках браузера поисковую систему по умолчанию, устанавливая в качестве неё сервер Trovi. Также малварь может скачать и установить поисковый плагин для браузеров Safari, Chrome и Firefox – Program.Mac.Unwanted.BrowserEnhancer.1. Завершая свое черное дело, вредоносная программа загружает и устанавливает в систему троянца Mac.Trojan.VSearch.7.

Дальнейшее вредительство уже осуществляет Mac.Trojan.VSearch.7. Сначала троян создает в операционной системе нового пользователя (который не отображается в окне приветствия OS X) и запускает прокси-сервер, с помощью которого встраивает во все открываемые в браузере страницы сценарий на языке JavaScript, отображающий рекламные баннеры. Кроме того, он  собирает пользовательские запросы к нескольким популярным поисковым системам.

Специалисты пишут, что понаблюдав за командными серверами хакеров, они зафиксировали 1 735 730 запросов на загрузку вредоносных программ с 478 099 уникальных IP-адресов. Это позволяет понять масштабы распространения Mac.Trojan.VSearch, которые сложно назвать скромными.

Фото: "Доктор Веб"

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии