VindInstaller

VindInstaller jest klasyfikowany jako adware i pakiet płatny za instalację. Celem jest dostarczanie PUP (potencjalnie niechcianych programów) do systemu Mac użytkownika bez przyciągania uwagi. Aby to osiągnąć, stosuje się różne zwodnicze techniki marketingowe, takie jak wybranie wstępnie procesu instalacji PUP i ukrywanie go w instalacji popularnego darmowego produktu. W rezultacie jedna lub więcej niezauważonych aplikacji może zostać zainstalowanych na komputerze, nawet nie zdając sobie z tego sprawy. Inną powszechną taktyką jest udawanie dostarczania nowej wersji lub aktualizacji dla odtwarzacza Adobe Flash, niezależnie od pierwotnie reklamowanej funkcjonalności aplikacji pobranej przez użytkownika. Ogólnie PUP nie stanowi bezpośredniego zagrożenia dla systemu, ale prowadzi do poważnego obniżenia komfortu użytkowania. Większość PUP to programy typu adware lub porywacze przeglądarki, które dostarczają niechciane i wątpliwe materiały reklamowe w celu generowania zysków pieniężnych dla programisty aplikacji.

VindInstaller wciąż się rozwija

VindInstaller nie jest nowym złośliwym oprogramowaniem stworzonym w celu nękania użytkowników macOS. W rzeczywistości istnieje od prawie dziesięciu lat, a najwcześniejsze próbki wykryto w 2013 r. Jednak w tym okresie VindInstaller ewoluował i wprowadzał nowe techniki, aby stać się bardziej skutecznymi i rzadziej wykrywanymi przez oprogramowanie zabezpieczające. Do tej pory ustalono trzy różne warianty.

Pierwsza z nich nazywa się VindInstaller.A i reprezentuje najbardziej podstawową formę złośliwego oprogramowania. Jest to głównie porywacz przeglądarki atakujący Chrome, Firefox i Safari, a także instalator pakietu Genieo. Będąc najwcześniejszym wcieleniem, VindInstaller.A nie zawiera żadnych procedur zaciemniania ani technik antyanalizowych.

Kolejny wariant, VindInstaller.B, pokazuje rozszerzony zakres celów cyberprzestępców. Jest wyposażony w funkcje gromadzenia danych, które zbierają szczegółowe informacje o wersji systemu operacyjnego ofiary. Aby dostarczyć produkty PUP na komputer, którego dotyczy problem, VindInstaller.B kontaktuje się z określonym adresem URL. Chociaż ten wariant nie jest również zaciemniany, jego mechanizm dostarczania skryptów powłoki został zaprojektowany tak, aby uniknąć wykrycia przez produkty oparte na sygnaturach i niektóre silniki piaskownicy.

Najnowszym zaobserwowanym wariantem jest VindInstaller.Gen. Ponownie wykorzystuje adaptację skryptów powłoki, które zostały po raz pierwszy zauważone w złośliwym oprogramowaniu Shlayer i Bundlore, aby uniknąć złapania przez starsze produkty chroniące przed złośliwym oprogramowaniem i oprogramowanie zabezpieczające oparte na sygnaturach. Jednak VindInstaller.Gen używa klasy NSAppleScript, dzięki czemu może uzyskać funkcjonalność AppleScript bez konieczności przechodzenia przez narzędzie osascript. Wykorzystując zakres implementacji NSAppleScript, można rozpoznać dwie wersje VindInstaller.Gen - „mdm.macLauncher" i „osxdl.Downloader". Z tych dwóch „osxdl.Downloader" opiera się na nim bardziej dzięki zastosowaniu klasy DandIThread.