Фирмата за сигурност Dr. Web докладва за нова атака на рекламен софтуер, която е насочена към потребители на Mac, където злонамерени уеб сайтове ще подмамват потребителите да инсталират плъгин, който ще ви проследява браузъра и дисплейните реклами.

Зловредният софтуер, наречен "Yontoo", ще се срещне за първи път като мултимедиен плейър, мениджър за изтегляне или друго изискване на приставката за гледане на съдържание в някои злонамерено изработени уеб сайтове, прикрити като източници за споделяне на файлове и филмови трейлъри. Когато се кликне върху подсказката на приставката, ще бъдете пренасочени към сайт, който изтегля инсталатора на троянски кон и изисква да го стартирате. Инсталационната програма е за фалшива програма, наречена "Twit Tube", която при инсталиране ще постави Web plug-in или разширение, наречено "Yontoo", което ще се изпълнява в популярни браузъри като Safari, Chrome и Firefox.

Когато зловредният софтуер се изпълнява, засегнатите системи ще бъдат активно проследявани за поведение при сърфиране, а законните уеб сайтове ще бъдат откраднати с рекламни банери и друго съдържание, което се опитва да ви примами да го кликнете.

Изглежда, че злонамереният софтуер представлява опит за приход от рекламодатели от страна на престъпниците зад него, но ако наскоро сте инсталирали подозрителна приставка в системата си и виждате странни връзки за сделки, които се показват на често посещавани уебсайтове, проверете инсталираните приставки за всяка следа от този зловреден софтуер. Можете да направите това в Safari и Chrome, като преминете към предпочитанията за „Разширения“, за да видите дали има такъв Yontoo, но можете също да изберете опцията „Инсталирани приставки“ в менюто „Помощ“ на Safari, за да видите информация за плъгина добавки. За Chrome копирайте и поставете URL адреса „chrome: // plugins /“ в полето за адрес на браузъра си, за да стигнете до настройките му за приставките. В Firefox можете да изберете "Добавки" от менюто Инструменти, за да проверите за разширения и приставки.

Ако откриете следа от приставката Yontoo на вашата система, въпреки че можете да я деактивирате във всеки уеб браузър, по-задълбочена възможност е да отидете в Macintosh HD> Библиотека> Интернет Plug-Ins папка и да премахнете плъзгача -в ръчно. Освен това трябва да проверите папката на приставката за вашата домашна директория, до която можете да влезете, като изберете Библиотека от менюто Go в Finder (задръжте клавиша Option, за да разкриете библиотеката в това меню, ако липсва), и след това намерете папката Интернет Plug-Ins тук. Когато приставката бъде премахната, излезте и рестартирайте браузърите си.

Тъй като уеб плагините са един от методите, по които разработчиците на зловреден софтуер могат да насочват системата, едно от нещата, които можете да направите, за да предотвратите атаките, е да получите списък с папките на уеб приложенията, така че да знаете точно какво е в тях, а след това да може да проучи по-добре всички нови продукти, поставени там. Друг подобен подход е да се създаде услуга за наблюдение в OS X, която ще ви информира за всяко поставяне на нови елементи в папките за интернет плъгини на вашата система. Наскоро очертах метод за това, за да наблюдавам папките за стартиране на агенти на Mac и можете по подобен начин да приложите този метод към следните два пътища на директория в допълнение към пътищата за стартиране на агенти, описани в статията:

Macintosh HD> Библиотека> Интернет приложения

Macintosh HD> Потребители> потребителско име > Библиотека> Интернет плъгини