VindInstaller

VindInstaller被分类为广告软件和按安装付费捆绑。目的是在不引起任何关注的情况下将PUP（可能不需要的程序）交付给用户的Mac系统。采用了各种欺骗性的营销技术来实现这一目标，例如已经预先选择了PUP的安装过程，并将其隐藏在流行的免费软件产品的安装内部。结果，可能会在用户未意识到的情况下将一个或多个未注意到的应用程序安装在计算机上。另一个常见的策略是假装为播放器提供Adobe Flash的新版本或更新，而不管用户下载的应用程序最初宣传的功能是什么。通常，PUP不会对系统造成直接威胁，但确实会导致用户体验严重下降。大多数PUP要么是广告软件，要么是浏览器劫持者，它们以某种计划发送不需要的和可疑的广告材料，从而为应用程序的开发人员带来收益。

VindInstaller仍在发展

VindInstaller并不是为困扰macOS用户而创建的全新恶意软件。实际上，它已经存在了将近十年，最早的样本是在2013年被检测到的。但是，在此期间，VindInstaller不断发展并整合了新技术，从而变得更加有效，并且不太可能被安全软件检测到。到目前为止，已经建立了三种不同的变体。

第一个称为VindInstaller.A，代表恶意软件的最基本形式。它主要是针对Chrome，Firefox和Safari的浏览器劫持程序，以及Genieo捆绑包安装程序。作为最早的化身，VindInstaller.A不包含任何混淆例程或反分析技术。

下一个变种VindInstaller.B显示了网络犯罪分子目标的扩展范围。它具有数据收集功能，可以收集有关受害者操作系统版本的详细信息。要将PUP产品交付到受影响的计算机上，VindInstaller.B联系特定的URL。尽管此变体也缺乏混淆性，但其shell脚本传递机制旨在避免被基于签名的产品和某些沙盒引擎检测到。

观察到的最新变体是VindInstaller.Gen。它再次采用了Shlayer恶意软件和Bundlore中最先注意到的shell脚本的改编，以逃避遗留的反恶意软件产品和基于签名的安全软件的捕获。但是，VindInstaller.Gen使用NSAppleScript类，使其无需通过osascript实用程序即可获得AppleScript功能。通过使用NSAppleScript实现的范围，可以识别VindInstaller.Gen的两个版本-" mdm.macLauncher"和" osxdl.Downloader"。在这两个之中，" osxdl.Downloader"通过使用DandIThread类更加依赖于它。