VindInstaller

VindInstaller被分類為廣告軟件和按安裝付費捆綁。目的是在不引起任何關注的情況下將PUP（可能不需要的程序）交付給用戶的Mac系統。採用了各種欺騙性的營銷技術來實現這一目標，例如已經預先選擇了PUP的安裝過程，並將其隱藏在流行的免費軟件產品的安裝內部。結果，可能會在用戶未意識到的情況下將一個或多個未註意到的應用程序安裝在計算機上。另一個常見的策略是假裝為播放器提供Adobe Flash的新版本或更新，而不管用戶下載的應用程序最初宣傳的功能是什麼。通常，PUP不會對系統造成直接威脅，但確實會導致用戶體驗嚴重下降。大多數PUP要么是廣告軟件，要么是瀏覽器劫持者，它們以某種計劃發送不需要的和可疑的廣告材料，從而為應用程序的開發人員帶來收益。

VindInstaller仍在發展

VindInstaller並不是為困擾macOS用戶而創建的全新惡意軟件。實際上，它已經存在了將近十年，最早的樣本是在2013年被檢測到的。但是，在此期間，VindInstaller不斷發展並整合了新技術，從而變得更加有效，並且不太可能被安全軟件檢測到。到目前為止，已經建立了三種不同的變體。

第一個稱為VindInstaller.A，代表惡意軟件的最基本形式。它主要是針對Chrome，Firefox和Safari的瀏覽器劫持程序，以及Genieo捆綁包安裝程序。作為最早的化身，VindInstaller.A不包含任何混淆例程或反分析技術。

下一個變種VindInstaller.B顯示了網絡犯罪分子目標的擴展範圍。它具有數據收集功能，可以收集有關受害者操作系統版本的詳細信息。要將PUP產品交付到受影響的計算機上，VindInstaller.B聯繫特定的URL。儘管此變體也缺乏混淆性，但其shell腳本傳遞機制旨在避免被基於簽名的產品和某些沙盒引擎檢測到。

觀察到的最新變體是VindInstaller.Gen。它再次採用了Shlayer惡意軟件和Bundlore中最先註意到的shell腳本的改編，以逃避遺留的反惡意軟件產品和基於簽名的安全軟件的捕獲。但是，VindInstaller.Gen使用NSAppleScript類，使其無需通過osascript實用程序即可獲得AppleScript功能。通過使用NSAppleScript實現的範圍，可以識別VindInstaller.Gen的兩個版本-" mdm.macLauncher"和" osxdl.Downloader"。在這兩個之中，" osxdl.Downloader"通過使用DandIThread類更加依賴於它。