Video: How to Run Selenium WebDriver Scripts using Chrome & Safari Browsers on Mac OS X (Dezember 2024)
Mac OS X-Benutzer, die plötzlich Anzeigen auf verschiedenen Websites sehen, können von einem werbefinanzierten Trojaner infiziert werden.
"Trojan.Yontoo", eine Malware-Variante für Mac OS X, die erstmals von dem russischen Antiviren-Unternehmen Dr. Web identifiziert wurde, täuscht Benutzer vor, es herunterzuladen, und denkt, es handele sich um ein anderes Plugin oder eine andere Anwendung. Sobald die Malware auf dem Computer ist, werden Anzeigen in Safari, Chrome und Firefox eingeblendet. Wie PCMag.com bereits früher berichtete, werden Benutzer aufgefordert, Yontoo als Browser-Plugin auf Websites zu installieren, auf denen angeblich Filmtrailer gehostet werden. Yontoo kann sich auch als Mediaplayer, Download-Beschleuniger oder sogar als "Programm zur Verbesserung der Videoqualität" präsentieren.
Wenn der Benutzer der Installation der Anwendung "Free Twit Tube" zustimmt, installiert der Trojaner ein Plugin für vorhandene Browser auf dem System, einschließlich Safari, Firefox und Chrome. Yontoo überwacht dann die Web-Browsing-Aktivität des Benutzers und überträgt diese Informationen zurück an einen Remote-Server. Die Malware erhält dann Anweisungen, auf welchen Seiten Anzeigen eingefügt werden sollen. Auf diese Weise sammelt die Gruppe hinter der Malware Anzeigenimpressionen auf nahezu jeder gewünschten Website.
"Einige Benutzer können infiziert sein, ohne es zu wissen, da Pop-up-Nachrichten und Anzeigen so weit verbreitet sind, dass sie keinen Verdacht auf das ungeübte Auge aufkommen lassen", sagte Bogdan Botezatu, leitender E-Threat-Analyst bei BitDefender, gegenüber SecurityWatch .
Aktuelle Infektionsnummern sind derzeit nicht verfügbar. Da der Prozentsatz der Mac OS X-Benutzer, die eine Antivirenlösung verwenden, relativ gering ist, ist es schwer zu wissen, wie viele Menschen überhaupt infiziert waren, so Botezatu.
Vorerst nur ein Partner-Werbeprogramm
Die Anzeigen selbst sind in dem Sinne nicht bösartig, dass sie keine Malware herunterladen oder Softwarelücken ausnutzen. Yontoo nutzt anscheinend auch keine Sicherheitslücken in OS X aus, verlässt sich jedoch auf Social Engineering, um sich auf dem Zielsystem installieren zu lassen.
Das Hauptziel von Yontoo ist es, die Vorteile der Affiliate-Werbung auf einer Vielzahl von Websites zu nutzen, sagte Botezatu. Der Trojaner infiziert Affiliate-Banner auf den Webseiten, die der Benutzer durchsucht, auch wenn auf dieser Seite keine Anzeigen geschaltet sind. Banner können auf E-Commerce-Sites auftauchen und die Aufmerksamkeit des Benutzers auf sich ziehen. Der Benutzer kann auf das Banner klicken, wenn er annimmt, dass es sich um eine legitime Anzeige handelt, und auf eine andere Website weitergeleitet werden. Die Gruppe, die hinter der Malware steht, wird im Rahmen des Partnerprogramms bezahlt.
Dr. Web hat festgestellt, dass auf der Apple-Website Anzeigen im Zusammenhang mit Apple geschaltet wurden. Botezatu war sich nicht sicher, ob dies nur ein Zufall war, aber anscheinend zielen Angreifer tatsächlich auf Anzeigen, die den Kontext der Website und den geografischen Standort des Nutzers verwenden.
Es ist keine besonders ausgefeilte Malware, aber die Tatsache, dass ein Teil des Codes im Browser sitzt und jede einzelne Information überwacht, ist beängstigend und gefährlich, sagte Botezatu. Kriminelle können ihre Vorgehensweise jederzeit ändern, und während sie heute oder morgen Werbung einspeisen, können sie auf das Einspeisen von Exploit-Code umsteigen oder Benutzer zu Phishing-Sites und Drive-by-Download-Angriffsseiten weiterleiten. Laut Botezatu kann die Struktur der Malware auch geändert werden, um Werbung anzuzeigen oder Browser-Cookies zu stehlen.
Es ist auch nicht nur auf Mac OS X beschränkt, da Symantec zuvor eine Windows-Version von Yontoo identifiziert hat. Adware für Mac OS X nimmt seit einiger Zeit zu, und Mac-Benutzer müssen wachsam sein, welche Anwendungen sie herunterladen und installieren, damit sie sich nicht versehentlich selbst infizieren.