VindInstaller

O VindInstaller é classificado como adware e um pacote pay-per-install. O objetivo é entregar PUPs (Programas Potencialmente Indesejados) ao sistema Mac do usuário sem chamar atenção. Várias técnicas de marketing enganosas são empregadas para conseguir isso, tal como ter o processo de instalação do PUP pré-selecionado e escondido dentro da instalação de um produto freeware popular. Como resultado, um ou mais aplicativos despercebidos podem ser instalados no computador sem que o usuário perceba. Outra tática comum é fingir que está entregando uma nova versão ou atualização do Adobe Flash, player independente de qual foi a funcionalidade originalmente anunciada do aplicativo baixado pelo usuário. Geralmente, o PUP não representa uma ameaça direta ao sistema, mas leva a uma experiência do usuário severamente prejudicada. A maioria dos PUPs são adware ou sequestradores de navegador, entregando materiais publicitários indesejáveis e questionáveis em um esquema para gerar ganhos monetários para o desenvolvedor do aplicativo.

VindInstaller Ainda está Evoluindo

O VindInstaller não é um malware totalmente novo, criado para atormentar os usuários do macOS. Na verdade, ele existe há quase uma década, com as primeiras amostras sendo detectadas em 2013. Durante esse período, no entanto, o VindInstaller tem evoluído e incorporado novas técnicas para se tornar mais eficaz e menos provável de ser detectado pelo software de segurança. Até agora, três variantes distintas foram estabelecidas.

A primeira é chamada de VindInstaller.A e representa a forma mais básica do malware. É principalmente um sequestrador de navegador direcionado ao Chrome, Firefox e Safari, bem como um instalador do pacote Genieo. Sendo a encarnação mais antiga, VindInstaller.A não contém nenhuma rotina de ofuscação ou técnicas de anti-análise.

A próxima variante,o VindInstaller.B mostra o escopo expandido dos objetivos dos cibercriminosos. É equipado com recursos de coleta de dados que coletam detalhes sobre a versão do sistema operacional da vítima. Para entregar os PUPs no computador afetado, o VindInstaller.B entra em contato com um URL específico. Embora essa variante também não tenha ofuscação, seu mecanismo de entrega de script de shell foi projetado para evitar a detecção por produtos baseados em assinatura e certos mecanismos de sandbox.

A última variante observada é o VindInstaller.Gen. Ele novamente emprega uma adaptação dos scripts shell notados pela primeira vez no malware Shlayer e Bundlore para evitar ser capturado pelos produtos anti-malware legados e software de segurança baseado em assinatura. O VindInstaller.Gen, entretanto, usa a classe NSAppleScript, permitindo-lhe obter a funcionalidade AppleScript sem ter que passar pelo utilitário osascript. Usando a extensão da implementação NSAppleScript, duas versões de VindInstaller.Gen podem ser reconhecidas - 'mdm.macLauncher' e 'osxdl.Downloader.' Dos dois, o 'osxdl.Downloader' se apóia mais fortemente nele por meio do uso da classe DandIThread.