Экспертами из «Доктор Веб» была обнаружена Mac.Trojan.VSearch – новая разновидность троянских программ, которые атакуют пользователей OS X, а после ведут слежку за ними и заваливают их рекламой.
Распространение Mac.Trojan.VSearch осуществляется с помощью маскировки данных троянских программ под безвредные утилиты для OS X. В большинстве случаев пользователь самостоятельно осуществляет загрузку и установку вредоносной программы с какого-нибудь сайта с бесплатным программным обеспечением.
Первый этап кибератаки осуществляется с помощью Mac.Trojan.VSearch.2. Обычно при инсталляции программы, кроме самого приложения, пользователь также имеет возможность выбирать дополнительные компоненты из списка, представленного установщиком. Но в случае с Mac.Trojan.VSearch этого не происходит: программа сразу просит пользователя выбрать папку для установки. Несмотря на отсутствие окна выбора компонентов, установщик работает так, как будто в пропущенном окне пользователь выразил согласие на инсталляцию всех предложенных вариантов. В результате компьютер пользователя заражает Mac.Trojan.VSearch.4, а также множество других опасных программ, включая Mac.Trojan.Conduit, MacKeeper и ZipCloud.
Второй этап кибератаки проводит троянская программа Mac.Trojan.VSearch.4, которая выходит на связь с командным сервером и загружает переданный от него специальный скрипт, заменяющий в настройках браузера поисковую систему по умолчанию на сервер Trovi. Также вредоносная программа может производить загрузку и установку поискового плагина Program.Mac.Unwanted.BrowserEnhancer.1, которая предназначается для браузеров Chrome, Firefox и Safari. В последнюю очередь осуществляется загрузка и установка троянской программы Mac.Trojan.VSearch.7, которая занимается следующим этапом кибернападения.
Вначале троянская программа создает в операционной системе нового пользователя, не отображающегося в окне приветствия OS X, и производит запуск прокси-сервера, благодаря которому JavaScript-сценарий для отображения рекламных баннеров встраивается во все страницы, открываемые в браузере. Кроме того, осуществляется сбор пользовательских запросов для нескольких популярных поисковых систем.
Как утверждают эксперты из «Доктор Веб», в ходе наблюдения за командными серверами, принадлежащими хакерам, было зафиксировано 1735730 запросов на загрузку вредоносных программ, отправленных с 478099 уникальных IP-адресов.