ВиндИнсталлер

VindInstaller классифицируется как рекламное ПО с оплатой за установку. Цель состоит в том, чтобы доставить ПНП (потенциально нежелательные программы) в систему Mac пользователя, не привлекая внимания. Для этого используются различные обманчивые маркетинговые методы, такие как предварительный выбор процесса установки ПНП и скрытый внутри установки популярного бесплатного продукта. В результате одно или несколько незаметных приложений могут быть установлены на компьютере, даже если пользователь этого не осознает. Другая распространенная тактика - это притвориться, будто вы поставляете новую версию или обновление для Adobe Flash Player, независимо от того, какие изначально рекламируемые функциональные возможности приложения были загружены пользователем. Как правило, ПНП не представляют прямой угрозы для системы, но они серьезно ухудшают взаимодействие с пользователем. Большинство ПНП являются либо рекламным ПО, либо угонщиками браузера, доставляющими нежелательные и сомнительные рекламные материалы в рамках схемы получения денежной выгоды для разработчика приложения.

VindInstaller все еще развивается

VindInstaller - это не новая вредоносная программа, созданная для того, чтобы досаждать пользователям MacOS. Фактически, он существует уже почти десять лет, а самые ранние образцы были обнаружены еще в 2013 году. Однако в течение этого периода VindInstaller развивался и внедрял новые методы, чтобы стать более эффективными и с меньшей вероятностью быть обнаруженными программным обеспечением безопасности. На данный момент установлено три различных варианта.

Первый называется VindInstaller.A и представляет собой самую простую форму вредоносного ПО. В основном это угонщик браузера, нацеленный на Chrome, Firefox и Safari, а также установщик пакета Genieo. Будучи самым ранним воплощением, VindInstaller.A не содержит никаких подпрограмм обфускации или методов антианализа.

Следующий вариант, ВиндИнсталлер.B, показывает расширенный круг целей киберпреступников. Он оснащен функциями сбора данных о версии ОС жертвы. Чтобы доставить продукты ПНП на зараженный компьютер, VindInstaller.B обращается по определенному URL-адресу. Хотя в этом варианте также отсутствует обфускация, его механизм доставки сценариев оболочки разработан таким образом, чтобы избежать обнаружения продуктами на основе сигнатур и некоторыми механизмами песочницы.

Последний наблюдаемый вариант - VindInstaller.Gen. Он снова использует адаптацию сценариев оболочки, впервые замеченных во вредоносном ПО Shlayer и Bundlore, чтобы избежать попадания в унаследованные антивирусные продукты и ПО безопасности на основе сигнатур. Однако VindInstaller.Gen использует класс NSAppleScript, позволяющий получить функциональность AppleScript без необходимости использования утилиты osascript. Используя степень реализации NSAppleScript, можно распознать две версии VindInstaller.Gen - mdm.macLauncher и osxdl.Downloader. Из двух «osxdl.Downloader» больше опирается на него за счет использования класса DandIThread.