VindInstaller
VindInstaller is geclassificeerd als adware en pay-per-install-bundeling. Het doel is om PUP's (Potentieel Ongewenste Programma's) naar het Mac-systeem van de gebruiker te sturen zonder enige aandacht te trekken. Er worden verschillende misleidende marketingtechnieken gebruikt om dit te bereiken, zoals het installatieproces van de PUP al voorgeselecteerd en verborgen in de installatie van een populair freewareproduct. Als gevolg hiervan kunnen een of meer onopgemerkte applicaties op de computer worden geïnstalleerd zonder dat de gebruiker het zelfs maar beseft. Een andere veelgebruikte tactiek is om te doen alsof je een nieuwe versie of update voor de Adobe Flash-speler levert, ongeacht de oorspronkelijk geadverteerde functionaliteit van de applicatie die door de gebruiker is gedownload. Over het algemeen vormt PUP geen directe bedreiging voor het systeem, maar ze leiden wel tot een ernstig verminderde gebruikerservaring. De meeste PUP's zijn adware of browserkapers die ongewenst en twijfelachtig advertentiemateriaal leveren in een plan om geldelijke winst te genereren voor de ontwikkelaar van de applicatie.
VindInstaller evolueert nog steeds
VindInstaller is geen gloednieuwe malware die is gemaakt om macOS-gebruikers te plagen. In feite bestaat het al bijna een decennium met de vroegste monsters die werden gedetecteerd in 2013. In die periode is VindInstaller echter geëvolueerd en heeft het nieuwe technieken geïntegreerd om effectiever te worden en minder snel gedetecteerd door beveiligingssoftware. Tot dusver zijn er drie verschillende varianten vastgesteld.
De eerste heet VindInstaller.A en vertegenwoordigt de meest basale vorm van malware. Het is meestal een browserkaper die zich richt op Chrome, Firefox en Safari, evenals een installatieprogramma voor Genieo-bundels. VindInstaller.A is de vroegste incarnatie en bevat geen versluieringsroutines of anti-analysetechnieken.
De volgende variant, VindInstaller.B, toont de uitgebreide reikwijdte van de doelen van cybercriminelen. Het is uitgerust met mogelijkheden voor het verzamelen van gegevens die details verzamelen over de OS-versie van het slachtoffer. Om de PUP-producten op de getroffen computer af te leveren, neemt VindInstaller.B contact op met een specifieke URL. Hoewel deze variant ook geen verduistering heeft, is het mechanisme voor het afleveren van shell-scripts ontworpen om detectie door op handtekeningen gebaseerde producten en bepaalde sandbox-engines te voorkomen.
De laatst waargenomen variant is VindInstaller.Gen. Het maakt opnieuw gebruik van een aanpassing van de shell-scripts die voor het eerst werden opgemerkt in de Shlayer- malware en Bundlore om te voorkomen dat ze worden gepakt door verouderde anti-malwareproducten en op handtekeningen gebaseerde beveiligingssoftware. VindInstaller.Gen gebruikt echter de NSAppleScript-klasse waardoor het AppleScript-functionaliteit kan krijgen zonder het osascript- hulpprogramma te hoeven doorlopen. Door gebruik te maken van de implementatie van NSAppleScript, kunnen twee versies van VindInstaller.Gen worden herkend: 'mdm.macLauncher' en 'osxdl.Downloader'. Van de twee leunt 'osxdl.Downloader' er zwaarder op door het gebruik van de klasse DandIThread.
