Bezpečnostní společnost Dr. Web hlásí nový útok trojského koně adware, který je zaměřen na uživatele Mac, kde škodlivé weby zneužijí uživatele k instalaci pluginu, který vám bude sledovat vaše prohlížeče a grafické reklamy.

Malware nazvaný "Yontoo" se poprvé objeví jako přehrávač médií, správce stahování nebo jiný požadavek plug-inu pro prohlížení obsahu na některých zlomyslně vytvořených webech, které jsou skryty jako zdroje pro sdílení souborů a příběhy filmů. Po kliknutí na výzvu plug-in budete přesměrováni na web, který stahuje instalační program pro trojské koně a vyžaduje, abyste jej spustili. Instalační program je určen pro falešný program nazvaný "Twit Tube", který po instalaci umístí webový plug-in nebo rozšíření s názvem "Yontoo", které se bude spouštět v populárních prohlížečích, jako jsou Safari, Chrome a Firefox.

Když je malware spuštěn, postižené systémy budou aktivně sledovány pro chování při prohlížení a legitimní webové stránky budou uneseny reklamními banery a jiným obsahem, který se vás pokusí přitáhnout k tomu, že kliknete na ně.

Zdá se, že škodlivý software je pokusem o příjmy z reklamy ze strany zločinců za ním, ale pokud jste nedávno nainstalovali podezřelý modul plug-in do vašeho systému a vidíte, že na frekventovaných webových stránkách se objevují bizarní odkazy na obchody, zkontrolujte nainstalované zásuvné moduly všechny stopy tohoto malwaru. Můžete to udělat v Safari a Chrome tak, že přejdete do předvoleb "Rozšíření", abyste zjistili, zda je zde k dispozici jeden z nich nazvaný Yontoo. Můžete také vybrat možnost "Instalované pluginy" v nabídce Nápověda Safari a zobrazit informace o vašem plug- in. V prohlížeči Chrome zkopírujte a vložte adresu URL "chrome: // plugins /" do pole adresy svého prohlížeče, abyste získali nastavení plug-in. Ve službě Firefox můžete v nabídce Nástroje vybrat možnost "Doplňky" a zkontrolovat rozšíření a zásuvné moduly.

Pokud na vašem systému najdete stopu plug-in Yontoo, ačkoli ho můžete v každém webovém prohlížeči zakázat, důkladnější možností je přejít do složky Macintosh HD> Library> Internet Plug-Ins a odstranit konektor -in ručně. Dále byste měli zkontrolovat složku plug-in pro váš domovský adresář, ke kterému lze přistupovat vybráním Knihovny z nabídky Go v Finderu (přidržte klávesu Option pro zobrazení knihovny v této nabídce, pokud chybí) a pak vyhledejte složka Internet Plug-Ins zde. Po odebrání modulu plug-in ukončete a znovu spusťte prohlížeče.

Vzhledem k tomu, že webové zásuvné moduly jsou jednou z metod, které mohou vývojáři škodlivého softwaru cílit na systém, jedna věc, kterou můžete udělat, je zabránit útokům, je získat inventář vašich složek plug-inů pro web, abyste věděli přesně, co je v nich, a poté schopen lépe prozkoumat všechny nové položky, které jsou tam umístěny. Dalším podobným přístupem je nastavení monitorovací služby v systému OS X, které vás bude informovat vždy, když budou nové položky umístěny do složek Internet Plugins v systému. Nedávno jsem načrtl metodu, jak to provést, abyste sledovali složky Launch Agent na počítači Mac a podobně můžete použít tuto metodu na následující dvě cesty adresářů kromě cest spouštěcích agentů uvedených v článku:

Macintosh HD> Knihovna> Internetové pluginy

Macintosh HD> Uživatelé> uživatelské jméno > Knihovna> Internetové pluginy