VindInstaller

VindInstaller, reklam yazılımı ve yükleme başına ödeme paketi olarak sınıflandırılır. Amaç, PUP'leri (Potansiyel Olarak İstenmeyen Programlar) kullanıcının Mac sistemine herhangi bir dikkat çekmeden sunmaktır. Bunu başarmak için, popüler bir ücretsiz yazılım ürününün kurulumunda önceden seçilmiş ve gizli olan PUP'un kurulum sürecine sahip olmak gibi çeşitli aldatıcı pazarlama teknikleri kullanılır. Sonuç olarak, kullanıcı farkına bile varmadan bilgisayara bir veya daha fazla fark edilmeyen uygulama yüklenebilir. Diğer bir yaygın taktik, kullanıcı tarafından indirilen uygulamanın orijinal olarak reklamı yapılan işlevselliği ne olursa olsun, Adobe Flash oynatıcı için yeni bir sürüm veya güncelleme sunuyormuş gibi davranmaktır. Genel olarak, PUP, sistem için doğrudan bir tehdit oluşturmaz, ancak ciddi şekilde azaltılmış bir kullanıcı deneyimine yol açar. Çoğu PUP, uygulamanın geliştiricisi için parasal kazançlar sağlamak için bir planda istenmeyen ve şüpheli reklam materyalleri sunan reklam yazılımı veya tarayıcı korsanlarıdır.

VindInstaller Hala Gelişiyor

VindInstaller, macOS kullanıcılarını rahatsız etmek için oluşturulmuş yepyeni bir kötü amaçlı yazılım değildir. Aslında, en erken örneklerin 2013'te tespit edilmesiyle neredeyse on yıldır ortalıktaydı. Bununla birlikte, bu dönemde VindInstaller, daha etkili hale gelmek ve güvenlik yazılımı tarafından algılanması daha az olası olmak için yeni teknikler geliştiriyor ve dahil ediyor. Şimdiye kadar üç farklı varyant oluşturuldu.

İlki VindInstaller.A olarak adlandırılır ve kötü amaçlı yazılımın en temel biçimini temsil eder. Çoğunlukla Chrome, Firefox ve Safari'yi ve ayrıca bir Genieo paket yükleyicisini hedefleyen bir tarayıcı korsanlığıdır. En eski enkarnasyon olan VindInstaller.A herhangi bir şaşırtma rutini veya anti-analiz tekniği içermez.

Bir sonraki varyant olan VindInstaller.B, siber suçlunun hedeflerinin genişletilmiş kapsamını gösteriyor. Mağdurun işletim sistemi sürümü hakkında ayrıntılar toplayan veri toplama yetenekleriyle donatılmıştır. PUP ürünlerini etkilenen bilgisayara teslim etmek için VindInstaller.B belirli bir URL ile iletişim kurar. Bu varyantta gizleme de bulunmamakla birlikte, kabuk komut dosyası teslim mekanizması imza tabanlı ürünler ve belirli sanal alan motorları tarafından algılanmayı önlemek için tasarlanmıştır.

En son gözlemlenen varyant VindInstaller.Gen'dir. Eski kötü amaçlı yazılımdan koruma ürünleri ve imza tabanlı güvenlik yazılımları tarafından yakalanmaktan kaçınmak için ilk olarak Shlayer kötü amaçlı yazılım ve Bundlore'da fark edilen kabuk komut dosyalarının bir uyarlamasını tekrar kullanır. Ancak VindInstaller.Gen, NSAppleScript sınıfını kullanarak, osascript yardımcı programından geçmek zorunda kalmadan AppleScript işlevselliğini kazanmasına izin verir. NSAppleScript uygulamasının kapsamını kullanarak, VindInstaller.Gen'in iki sürümü tanınabilir - 'mdm.macLauncher' ve 'osxdl.Downloader. İkisinden 'osxdl.Downloader', DandIThread sınıfının kullanımıyla ona daha fazla eğiliyor.