VindInstaller

VindInstaller er klassificeret som bundt af adware og betaling pr. Installation. Målet er at levere PUP'er (potentielt uønskede programmer) til brugerens Mac-system uden at tiltrække opmærksomhed. Forskellige vildledende markedsføringsteknikker anvendes til at opnå dette, såsom at have installationsprocessen for PUP allerede forudvalgt og skjult inde i installationen af et populært freeware-produkt. Som et resultat kan en eller flere ubemærkede applikationer installeres på computeren uden at brugeren engang er klar over det. En anden almindelig taktik er at foregive at levere en ny version eller opdatering til Adobe Flash, spiller uanset hvad den oprindeligt annoncerede funktionalitet for applikationen blev downloadet af brugeren. Generelt udgør PUP ikke en direkte trussel mod systemet, men de fører til en stærkt nedsat brugeroplevelse. De fleste PUP'er er enten adware eller browserkapere, der leverer uønskede og tvivlsomme reklamematerialer i en ordning, der genererer monetære gevinster for applikationsudvikleren.

VindInstaller udvikler sig stadig

VindInstaller er ikke en helt ny malware oprettet for at plage macOS-brugere. Faktisk har det eksisteret i næsten et årti, hvor de tidligste prøver blev opdaget tilbage i 2013. I denne periode har VindInstaller dog udviklet sig og inkorporeret nye teknikker for at blive mere effektive og mindre tilbøjelige til at blive opdaget af sikkerhedssoftware. Indtil videre er der etableret tre forskellige varianter.

Den første kaldes VindInstaller.A og repræsenterer den mest basale form for malware. Det er for det meste en browser flykaprer, der er målrettet mod Chrome, Firefox og Safari, samt et Genieo bundle-installationsprogram. VindInstaller.A er den tidligste inkarnation, der ikke indeholder nogen tiltrækningsrutiner eller anti-analyseteknikker.

Den næste variant, VindInstaller.B viser det udvidede omfang af cyberkriminals mål. Den er udstyret med dataindsamlingsfunktioner, der indsamler detaljer om ofrets OS-version. For at levere PUP-produkterne til den berørte computer kontakter VindInstaller.B en bestemt URL. Mens denne variant også mangler tiltrækning, er dens shell script-leveringsmekanisme designet til at undgå detektion af signaturbaserede produkter og visse sandkassemotorer.

Den seneste observerede variant er VindInstaller.Gen. Det bruger igen en tilpasning af shell-scripts, der først blev bemærket i Shlayer- malware og Bundlore for at undgå at blive fanget af ældre anti-malware-produkter og signaturbaseret sikkerhedssoftware. VindInstaller.Gen bruger dog NSAppleScript-klassen, så det kan få AppleScript-funktionalitet uden at skulle gå igennem osascript- værktøjet. Ved at bruge omfanget af NSAppleScript-implementering kan to versioner af VindInstaller.Gen genkendes - 'mdm.macLauncher' og 'osxdl.Downloader.' Ud af de to læner 'osxdl.Downloader' sig stærkere på det ved brug af DandIThread-klassen.