VindInstaller

VindInstaller klassificeras som adware- och pay-per-install-buntning. Målet är att leverera PUP: er (potentiellt oönskade program) till användarens Mac-system utan att uppmärksammas. Olika vilseledande marknadsföringstekniker används för att uppnå detta, såsom att ha installationsprocessen för PUP redan förvalen och gömd i installationen av en populär freeware-produkt. Som ett resultat kan en eller flera obemärkta applikationer installeras på datorn utan att användaren ens inser det. En annan vanlig taktik är att låtsas leverera en ny version eller uppdatering för Adobe Flash, spelare oavsett vad som ursprungligen annonserades för den applikation som användaren laddade ner. I allmänhet utgör PUP inte ett direkt hot mot systemet, men de leder till en allvarligt minskad användarupplevelse. De flesta valpar är antingen adware eller webbläsarkapare som levererar oönskat och tveksamt reklammaterial i ett system för att generera monetära vinster för applikationsutvecklaren.

VindInstaller utvecklas fortfarande

VindInstaller är inte en helt ny malware skapad för att plåga macOS-användare. I själva verket har det funnits i nästan ett decennium med de tidigaste proverna som upptäcktes redan 2013. Under den perioden har VindInstaller dock utvecklats och införlivat nya tekniker för att bli mer effektiva och mindre sannolikt att detekteras av säkerhetsprogramvara. Hittills har tre olika varianter etablerats.

Den första heter VindInstaller.A och representerar den mest grundläggande formen av skadlig kod. Det är oftast en webbläsarkapare som riktar sig till Chrome, Firefox och Safari, samt ett Genieo-paketinstallatör. VindInstaller.A är den tidigaste inkarnationen och innehåller inga fördunklingsrutiner eller anti-analystekniker.

Nästa variant, VindInstaller.B visar den utökade omfattningen av cyberkriminals mål. Den är utrustad med datainsamlingsfunktioner som samlar in information om offrets OS-version. För att leverera PUP-produkterna till den drabbade datorn kontaktar VindInstaller.B en specifik URL. Även om den här varianten också saknar förvirring är dess leveransmekanism för skalskript utformad för att undvika upptäckt av signaturbaserade produkter och vissa sandlådemotorer.

Den senaste observerade varianten är VindInstaller.Gen. Det använder återigen en anpassning av skalskript som först märktes i Shlayer- skadlig programvara och Bundlore för att undvika att fångas av äldre anti-malware-produkter och signaturbaserad säkerhetsprogramvara. VindInstaller.Gen använder dock klassen NSAppleScript så att den får AppleScript-funktionalitet utan att behöva gå igenom osascript- verktyget. Genom att använda omfattningen av NSAppleScript-implementering kan två versioner av VindInstaller.Gen kännas igen - 'mdm.macLauncher' och 'osxdl.Downloader.' Av de två lutar 'osxdl.Downloader' tyngre på det genom användning av DandIThread-klassen.