VindInstaller

VindInstaller è classificato come raggruppamento adware e pay-per-install. L'obiettivo è fornire PUP (programmi potenzialmente indesiderati) al sistema Mac dell'utente senza attirare l'attenzione. Per raggiungere questo obiettivo vengono utilizzate varie tecniche di marketing ingannevoli, come avere il processo di installazione del PUP già preselezionato e nascosto all'interno dell'installazione di un popolare prodotto freeware. Di conseguenza, una o più applicazioni inosservate possono essere installate sul computer senza che l'utente se ne accorga. Un'altra tattica comune è quella di fingere di fornire una nuova versione o un aggiornamento per Adobe Flash, giocatore indipendentemente dalla funzionalità originariamente pubblicizzata dell'applicazione scaricata dall'utente. In generale, PUP non rappresenta una minaccia diretta per il sistema, ma porta a un'esperienza utente notevolmente ridotta. La maggior parte dei PUP sono adware o dirottatori del browser che forniscono materiale pubblicitario indesiderato e discutibile in uno schema per generare guadagni monetari per lo sviluppatore dell'applicazione.

VindInstaller è ancora in evoluzione

VindInstaller non è un nuovo malware creato per affliggere gli utenti di macOS. In effetti, esiste da quasi un decennio con i primi campioni rilevati nel 2013. Durante quel periodo, tuttavia, VindInstaller si è evoluto e ha incorporato nuove tecniche per diventare più efficace e con minori probabilità di essere rilevato dal software di sicurezza. Finora sono state stabilite tre varianti distinte.

Il primo si chiama VindInstaller.A e rappresenta la forma più elementare del malware. È principalmente un dirottatore del browser che prende di mira Chrome, Firefox e Safari, nonché un programma di installazione di bundle Genieo. Essendo la prima incarnazione, VindInstaller.A non contiene routine di offuscamento o tecniche anti-analisi.

La variante successiva, VindInstaller.B mostra la portata ampliata degli obiettivi dei criminali informatici. È dotato di funzionalità di raccolta dati che raccolgono dettagli sulla versione del sistema operativo della vittima. Per consegnare i prodotti PUP sul computer interessato, VindInstaller.B contatta un URL specifico. Sebbene questa variante sia priva di offuscamento, il suo meccanismo di consegna degli script di shell è progettato per evitare il rilevamento da parte di prodotti basati su firme e alcuni motori sandbox.

L'ultima variante osservata è VindInstaller.Gen. Ancora una volta utilizza un adattamento degli script della shell rilevati per la prima volta nel malware Shlayer e Bundlore per evitare di essere scoperti da prodotti anti-malware legacy e software di sicurezza basato su firme. VindInstaller.Gen, tuttavia, utilizza la classe NSAppleScript che gli consente di ottenere la funzionalità AppleScript senza dover passare attraverso l'utilità osascript. Utilizzando l'estensione dell'implementazione di NSAppleScript, è possibile riconoscere due versioni di VindInstaller.Gen: "mdm.macLauncher" e "osxdl.Downloader". Dei due, "osxdl.Downloader" si appoggia maggiormente su di esso attraverso l'uso della classe DandIThread.