Vídeo: How to Remove Browser Extensions in Safari, Chrome & Firefox (macOS guide) (Outubro 2024)
Os usuários do Mac OS X de repente vendo anúncios aparecendo em vários sites podem estar infectados por um Trojan que injeta anúncios.
"Trojan.Yontoo", uma variante de malware direcionada ao Mac OS X, identificada pela primeira vez pelo antivírus russo Dr. Web, engana os usuários para fazer o download, pensando que é algum outro plug-in ou aplicativo. Uma vez no computador, o malware injeta anúncios no Safari, Chrome e Firefox. Como o PCMag.com relatou anteriormente, os usuários são solicitados a instalar o Yontoo como um plug-in de navegador em sites que alegam hospedar trailers de filmes. O Yontoo também pode se apresentar como um media player, acelerador de download ou mesmo um "programa de aprimoramento da qualidade de vídeo".
Quando o usuário concorda em instalar o aplicativo, chamado "Free Twit Tube", o Trojan instala um plug-in para navegadores existentes no sistema, incluindo Safari, Firefox e Chrome. O Yontoo monitora a atividade de navegação na Web do usuário e transmite essas informações de volta para um servidor remoto. O malware recebe instruções em quais páginas injetar anúncios. Dessa forma, o grupo por trás do malware coleta impressões de anúncios em praticamente qualquer site que desejar.
"Alguns usuários podem ser infectados sem saber, pois as mensagens e os anúncios pop-up são tão difundidos que não levantam suspeitas a olhos destreinados", disse Bogdan Botezatu, analista de ameaças eletrônicas da BitDefender, ao SecurityWatch .
Atualmente, os números reais de infecção não estão disponíveis. Como a porcentagem de usuários do Mac OS X que executam uma solução antivírus é uma fração relativamente pequena, é difícil saber quantas pessoas foram infectadas em primeiro lugar, disse Botezatu.
Por enquanto, apenas um programa de anúncios para afiliados
Os anúncios em si não são maliciosos, no sentido de que não estão baixando malware ou explorando quaisquer falhas de software. O Yontoo também não parece tirar proveito de nenhuma falha de segurança no OS X, mas depende da engenharia social para se instalar no sistema de destino.
O principal objetivo da Yontoo é tirar proveito da publicidade afiliada em uma ampla gama de sites, disse Botezatu. O Trojan infecta banners afiliados nas páginas da Web em que o usuário está navegando, mesmo que essa página não tenha nenhum anúncio. Os banners podem aparecer em sites de comércio eletrônico e chamar a atenção do usuário. O usuário pode clicar no banner pensando que era um anúncio legítimo e ser redirecionado para um site diferente, e o grupo por trás do malware é pago como parte do programa de afiliados.
Web encontrou uma instância de anúncios relacionados à Apple sendo injetados no site da Apple. Botezatu não tinha certeza se isso era apenas uma coincidência, mas parece que os invasores estão realmente segmentando anúncios usando o contexto do site e a localização geográfica do usuário.
Não é um malware particularmente sofisticado, mas o fato de haver um pedaço de código no navegador e o monitoramento de todas as informações é assustador e perigoso, disse Botezatu. Os criminosos podem mudar sua abordagem a qualquer momento e, embora possam estar injetando anúncios hoje, amanhã podem mudar para injetar código de exploração ou direcionar os usuários a sites de phishing e sites de ataque por download. A estrutura do malware também pode ser modificada para exibir anúncios maliciosos ou roubar cookies do navegador, disse Botezatu.
Também não se limita apenas ao Mac OS X, pois a Symantec já havia identificado uma versão do Yontoo para Windows. O adware para Mac OS X vem aumentando há algum tempo, e os usuários de Mac precisam estar vigilantes sobre quais aplicativos eles baixam e instalam, para que não se infectem inadvertidamente.
