本月早些时候,一个广告软件安装程序被发现利用了OS X中的DYLD_PRINT_TO_FILE漏洞.
现在,发必威平台APP现这个问题的Malwarebytes研究人员Adam Thomas发现了这个安装程序的一个新的变种,它使用了一些新的技巧。
最新的安装程序本质上与上一个相同,更新后,它将不再被OS X防恶意软件保护阻止。它有相同的图标,安装相同的东西(Genieo, VSearch, MacKeeper),并引导用户到App Store版本的Download Shuttle。
运行安装程序时,它将要求输入管理员密码,然后继续显示DealTop、OptimumSearch和MacKeeper的许可协议。如果用户全部同意,安装程序似乎会在提示打开应用商店下载下载应用程序时结束。
然而,在后台,细心的用户会注意到一个新的磁盘映像,称为“安装程序”,正在安装。不久之后,一些不寻常的事情发生了,如这段简短的视频所示:
你眨眼吗?如果是这样,你可能错过了看到OS X询问是否允许一个叫做安装程序的东西访问keychain:
由假下载穿梭程序安装程序显示
你可能会问,这有什么有趣的?很简单,事实上,允许按钮在警报中出现时就会被自动点击!
事实证明,假下载穿梭机安装程序在后台下载另一个磁盘映像文件(名为gn.dmg),打开它并运行磁盘映像中名为installer的应用程序。当该安装程序应用程序完成其任务时,将卸载磁盘映像(例如,“弹出”),并删除gn.dmg文件。
此安装程序应用程序包含Adam识别的代码,用于从屏幕上的此钥匙链警报中定位“允许”按钮,并模拟单击该按钮。
看起来此安装程序应用程序正在使用此黑客来访问密钥链中的Safari扩展列表,以便安装Genieo Safari扩展(本例中名为Leperdvil)。
考虑到Genieo安装人员多年来一直在安装Safari扩展,这似乎是一个不必要的攻击。也许这是为了在即将到来的El Capitan(OS X 10.11)中绕过对Safari扩展处理的更改。
不过,更令人担忧的是,如何阻止该广告软件访问其他机密钥匙链信息,比如密码?
只要做一些小改动,广告软件就可以从钥匙链获取其他东西,比如用户的iCloud密码。用户可能会因为窗口一亮就消失而产生怀疑,但可能不知道这意味着什么,也不知道该如何处理。
在考虑此代码的潜在恶意使用时,值得注意的是,安装在Applications文件夹中的Leperdvil应用程序也包含此代码,安装在用户主文件夹其他位置的Uninstall Leperdvil应用程序也包含此代码。这些应用程序如何处理这些代码尚不清楚。
更糟糕的是,事实证明,这些代码至少可以追溯到6月初,甚至更长时间,作为Genieo几乎所有变体的一部分安装在应用程序中。
另一个有趣的事实是,Webroot的研究人员发现了一个类似的安装程序,但表现出了不同的行为:修改AdBlock Plus中的排除列表确保由广告软件推送的广告不被屏蔽。然而,亚当·托马斯发现的样本中似乎没有这种行为。
随着Mac的广告软件变得越来越流行和隐蔽,用户了解如何保护自己.因为最近所有的广告软件安装程序都有一个共同点:它们依赖于能够诱使用户运行安装程序。
评论