ИБ-исследователи из компании “Доктор Веб” сообщают о росте числа различных рекламных приложений и установщиков для компьютеров Apple. Очередная подобная программа была замечена за распространением трояна семейства Trojan.Crossrider (по классификации Dr.Web). Установщик нежелательных и вредоносных программ для операционной системы Mac OS X был создан с использованием ресурсов программы для монетизации приложений macdownloadpro.com. В настоящее время в распространении установщика участвуют 900 web-сайтов.
Установщик содержит две скрытые папки, которые не будут отображаться на компьютере со стандартными настройками ОС, если пользователь решит просмотреть содержимое DMG-файла в программе Finder. Сама директория расположения приложения содержит двоичный файл, запускающий программу-установщик, и папку, в которой размещено изображение с логотипом данного приложения и зашифрованный конфигурационный файл. Сам установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.
После нажатия на кнопку “Next” установщик демонстрирует предложение, подразумевающее, что помимо требуемого файла программа установит и некоторые дополнительные компоненты.
В случае, если пользователь нажмет на ссылку “Decline” в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако после нажатия на кнопку “Next” вместе с ним программа загрузит и запустит другое вредоносное ПО, устанавливающие на компьютер жертвы вредоносные надстройки для браузеров Safari, Firefox и Chrome. Все загруженные из интернета компоненты вредонос копирует в папку “~/Library/Application Support/osxDownloader”. (Dr.Web/NovostIT)