A Dr. Web biztonsági cég egy új adware-trójai támadásról számol be, amely a Mac-felhasználókat célozza meg, ahol a rosszindulatú webhelyek a felhasználókat egy olyan plugin telepítésére fogják használni, amely nyomon követi a böngészési és megjelenítési hirdetéseit.

A "Yontoo" nevű rosszindulatú program először médialejátszó, letöltéskezelő vagy más plug-in követelményként fog megjelenni, ha bizonyos rosszindulatú webhelyek tartalmát a fájlmegosztó és filmes pótkocsik forrásaként álcázza. Ha rákattint a plug-in parancsra, átirányítja azt a webhelyre, amely letölti a trójai telepítőt, és megköveteli, hogy futtassa azt. A telepítő egy "Twit Tube" nevű hamis programhoz tartozik, amely telepítve egy "Yontoo" nevű webes bővítményt vagy bővítményt helyez el, amely népszerű böngészőkben, például Safari, Chrome és Firefoxban fog futni.

A rosszindulatú programok futtatásakor az érintett rendszerek aktívan nyomon követhetők a böngészési magatartásokért, és a törvényes webhelyeket a hirdetés bannerekkel és más tartalommal fogják lekaparni, amelyek megpróbálják rábírni.

Úgy tűnik, hogy a rosszindulatú bűnözők a rosszindulatú programokat keresik, de ha nemrégiben gyanús bővítményt telepítettek a rendszerre, és bizarr foglalkozási linkeket látnak a gyakran látogatott webhelyeken, akkor ellenőrizze a telepített bővítményeket a rosszindulatú program bármilyen nyomai. Ezt a Safari és a Chrome programban is elvégezheti a "Bővítmények" beállításai alapján, hogy lássa, hogy van-e ott egy Yontoo név, de a Safari Súgó menüjében a "Telepített bővítmények" opciót is kiválaszthatja, hogy megtekinthesse a plug-in inek. Chrome esetén másolja és illessze be a "chrome: // plugins /" URL-t a böngésző címmezőjébe, hogy elérje a plug-in beállításait. A Firefoxban az Eszközök menüből választhatja ki a "Kiegészítők" lehetőséget a bővítmények és a bővítmények ellenőrzéséhez.

Ha talál egy nyomot a Yontoo plug-inről a rendszerben, akkor bár bárki letilthatja azt minden webböngészőben, egy alaposabb lehetőség az, hogy a Macintosh HD> Könyvtár> Internet Plug-Ins mappába megy, és távolítsa el a dugót - manuálisan. Ezenkívül ellenőrizze az otthoni könyvtárának plug-in mappáját, amelyhez a Finder Go menüjéből a Library (Könyvtár) választásával férhet hozzá (tartsa lenyomva az Opció gombot, hogy felfedje a könyvtárat ebben a menüben, ha hiányzik), majd keresse meg itt található az Internet Plug-Ins mappa. Amikor a plug-in eltávolításra kerül, lépjen ki és indítsa újra a böngészőket.

Mivel a webes plug-inek egy módszer a rosszindulatú programok fejlesztői számára, hogy egy rendszert célozzanak meg, az egyik dolog, amit tehetünk a támadások megakadályozására, egy webes bővítmények mappáinak listája, hogy pontosan tudja, hogy mi van benne, jobban megvizsgálhatja az ott elhelyezett új elemeket. Egy másik hasonló megközelítés az, hogy az OS X-ben felügyeleti szolgáltatást hozzon létre, amely tájékoztatja Önt, ha új elemeket helyeznek el a rendszer internetes plugin-mappáiban. A közelmúltban vázoltam egy módszert, amellyel ezt megtehetem egy Mac-en lévő Launch Agent mappák megfigyelésére, és hasonló módon alkalmazhatja ezt a módszert a következő két könyvtárútvonalra a cikkben vázolt Launch Agent útvonalakon kívül:

Macintosh HD> Könyvtár> Internetes bővítmények

Macintosh HD> Felhasználók> felhasználónév > Könyvtár> Internetes bővítmények