Η εταιρεία ασφάλειας Dr.Web αναφέρει μια νέα επίθεση Trojan adware που απευθύνεται σε χρήστες Mac, όπου οι κακόβουλες τοποθεσίες Web θα εξαπατήσουν τους χρήστες να εγκαταστήσουν ένα plugin που θα παρακολουθεί τις διαφημίσεις περιήγησης και προβολής σας σε εσάς.

Το κακόβουλο λογισμικό, που ονομάζεται "Yontoo", θα αντιμετωπιστεί για πρώτη φορά ως media player, διαχειριστής λήψης ή άλλη απαίτηση plug-in για την προβολή περιεχομένων σε κάποιες κακόβουλα δημιουργημένες τοποθεσίες Web που συγκαλύπτονται ως πηγές για κοινή χρήση αρχείων και ρυμουλκούμενων ταινιών. Όταν κάνετε κλικ στην προτροπή plug-in, μεταφερθείτε σε έναν ιστότοπο που κάνει λήψη του προγράμματος εγκατάστασης του Trojan και απαιτεί να το εκτελέσετε. Το πρόγραμμα εγκατάστασης είναι για ένα ψεύτικο πρόγραμμα που ονομάζεται "Twit Tube", το οποίο όταν εγκατασταθεί θα τοποθετήσει ένα plug-in ή μια επέκταση Web που ονομάζεται "Yontoo" και θα εκτελεστεί σε δημοφιλή προγράμματα περιήγησης όπως το Safari, Chrome και Firefox.

Όταν το κακόβουλο λογισμικό εκτελείται, τα επηρεαζόμενα συστήματα θα παρακολουθούνται ενεργά για συμπεριφορές περιήγησης και οι νόμιμες τοποθεσίες Web θα καταπατηθούν με διαφημιστικά banners και άλλο περιεχόμενο που επιχειρεί να σας παρασύρει στο κλικ.

Το κακόβουλο λογισμικό φαίνεται να είναι μια απόπειρα διαφημίσεων από τους εγκληματίες πίσω από αυτό, αλλά αν έχετε εγκαταστήσει πρόσφατα μια ύποπτη προσθήκη στο σύστημά σας και βλέπετε παράξενους δεσμούς συναλλαγών που εμφανίζονται σε συχνές τοποθεσίες Web, ελέγξτε τις εγκατεστημένες προσθήκες οποιοδήποτε ίχνος αυτού του κακόβουλου λογισμικού. Μπορείτε να το κάνετε αυτό στο Safari και στο Chrome μεταβαίνοντας στις προτιμήσεις "Επεκτάσεις" για να δείτε αν υπάρχει ένα όνομα Yontoo, αλλά μπορείτε επίσης να επιλέξετε την επιλογή "Εγκατεστημένα πρόσθετα" στο μενού Βοήθειας του Safari για να δείτε πληροφορίες σχετικά με το plug- ins. Για το Chrome, αντιγράψτε και επικολλήστε τη διεύθυνση URL "chrome: // plugins /" στο πεδίο διεύθυνσης του φυλλομετρητή σας για να δείτε τις ρυθμίσεις του plug-in. Στο Firefox μπορείτε να επιλέξετε "Πρόσθετα" από το μενού Εργαλεία για να ελέγξετε για επεκτάσεις και προσθήκες.

Αν βρείτε ένα ίχνος της προσθήκης Yontoo στο σύστημά σας, τότε αν και μπορείτε να το απενεργοποιήσετε σε κάθε πρόγραμμα περιήγησης στο Web, μια πιο ενδελεχής επιλογή είναι να μεταβείτε στο φάκελο Macintosh HD> Library> Internet Plug-Ins και να αφαιρέσετε το βύσμα -σε χειροκίνητα. Επιπλέον, πρέπει να ελέγξετε τον φάκελο plug-in για τον οικείο κατάλογό σας, τον οποίο μπορείτε να αποκτήσετε επιλέγοντας Βιβλιοθήκη από το μενού Μετάβαση στο Finder (κρατήστε πατημένο το πλήκτρο Option για να αποκαλύψετε τη βιβλιοθήκη σε αυτό το μενού αν λείπει) και στη συνέχεια εντοπίστε το φάκελο Plug-Ins στο Internet εδώ. Όταν αφαιρεθεί η προσθήκη, τερματίστε και επανενεργοποιήστε τα προγράμματα περιήγησης.

Δεδομένου ότι οι προσθήκες στο Web είναι μια μέθοδος για τους προγραμματιστές κακόβουλου λογισμικού που στοχεύουν σε ένα σύστημα, ένα πράγμα που μπορείτε να κάνετε για να αποφύγετε τις επιθέσεις είναι να αποκτήσετε έναν κατάλογο των φακέλων των plug-ins του Web, ώστε να γνωρίζετε ακριβώς τι υπάρχει μέσα τους και, στη συνέχεια, είναι σε θέση να διερευνήσει καλύτερα τα νέα αντικείμενα που τοποθετούνται εκεί. Μια άλλη παρόμοια προσέγγιση είναι να δημιουργήσετε μια υπηρεσία παρακολούθησης στο OS X που θα σας ενημερώνει κάθε φορά που τοποθετούνται νέα στοιχεία στους φακέλους του Internet Plugins στο σύστημά σας. Πρόσφατα περιέγραψα μια μέθοδο για να γίνει αυτό για να παρακολουθήσετε τους φακέλους Launch Agent σε ένα Mac και μπορείτε να εφαρμόσετε παρόμοια τη μέθοδο αυτή στις ακόλουθες δύο διαδρομές καταλόγου εκτός από τις διαδρομές εκκίνησης Agent που περιγράφονται στο άρθρο:

Macintosh HD> Βιβλιοθήκη> Plug-ins για Internet

Macintosh HD> Χρήστες> Όνομα χρήστη > Βιβλιοθήκη> Plug-ins Internet