Bezpečnostná spoločnosť Dr. Web hlási nový útok trojského koní, ktorý je zameraný na používateľov počítačov Mac, kde škodlivé webové stránky odvádzajú používateľov do inštalácie doplnku, ktorý vám bude sledovať vaše prehliadanie a zobrazovanie reklám.

Škodlivý softvér nazvaný "Yontoo" sa najprv stretne ako prehrávač médií, správca sťahovania alebo iný doplnok pre zobrazenie obsahu na niektorých zlomyseľne vytvorených webových stránkach, ktoré sú skryté ako zdroje pre zdieľanie súborov a filmových prívesov. Po kliknutí na výzvu na plug-in služby ste presmerovaní na stránku, v ktorej sa načíta inštalačný program pre trójsky kôň a vyžaduje, aby ste ho spustili. Inštalátor je pre falošný program s názvom "Twit Tube", ktorý po nainštalovaní umiestni webový plug-in alebo rozšírenie s názvom "Yontoo", ktoré sa spustí v populárnych prehliadačoch, ako sú napríklad Safari, Chrome a Firefox.

Keď je spustený škodlivý softvér, postihnuté systémy sa budú aktívne sledovať pri správaní pri prehliadaní a legitímne webové stránky budú unesené reklamnými bannermi a iným obsahom, ktorý sa vás pokúša prilákať kliknutím.

Zdá sa, že škodlivý softvér je pokusom o príjmy z reklamy zo strany zločincov za tým, ale ak ste nedávno nainštalovali v systéme podozrivý plug-in a vidíte, že sa na frekventovaných webových stránkach objavujú bizarné odkazy na transakcie, skontrolujte si nainštalované doplnky akékoľvek stopy tohto malware. Môžete to urobiť v prehliadačoch Safari a Chrome tak, že prejdete na predvoľby "Rozšírenia", aby ste zistili, či sa v nich nachádza takzvaný Yontoo, ale môžete tiež vybrať možnosť "Inštalované doplnky" v ponuke Pomocníka programu Safari a zobraziť informácie o vašom plug- ins. V prehliadači Chrome skopírujte a prilepte adresu URL "chrome: // plugins /" do poľa adresy svojho prehliadača a dostanete sa do jeho nastavení doplnkov. V programe Firefox môžete z ponuky Nástroje vybrať položku "Doplnky" a skontrolovať rozšírenia a zásuvné moduly.

Ak nájdete v systéme stopu doplnku Yontoo, hoci ho môžete zakázať v každom webovom prehliadači, dôkladnejšou možnosťou je prejsť do priečinka Macintosh HD> Library> Internet Plug-Ins a odstrániť zástrčku -v manuáli. Okrem toho by ste mali skontrolovať zásuvný priečinok pre váš domovský adresár, ku ktorému môžete pristupovať výberom možnosti Knižnica z ponuky Prejsť v nástroji Finder (podržte klávesu Option na zobrazenie knižnice v tomto menu, ak chýba) a potom vyhľadajte priečinok modulu Internet Plug-Ins tu. Po odstránení doplnku ukončite a opätovne spustite prehliadače.

Vzhľadom na to, že webové zásuvné moduly sú jednou z metód, ktoré môžu vývojári škodlivého softvéru zacieľovať na systém, jedna vec, ktorú môžete urobiť na to, aby ste pomohli odvrátiť útoky, je získať inventár vašich priečinkov webových doplnkov, aby ste presne vedeli, čo je v nich, a potom schopný lepšie preskúmať akékoľvek nové položky tam umiestnené. Ďalším podobným prístupom je vytvorenie monitorovacej služby v systéme OS X, ktorá vás bude informovať vždy, keď sa do zložiek Internet Plugins vo vašom systéme umiestnia nové položky. Nedávno som načrtol spôsob, ako to urobiť, aby som monitoroval priečinky Launch Agent na počítači Mac, a môžete podobne aplikovať túto metódu aj na nasledujúce dva adresárové cesty okrem spustenia cesty Agent uvedených v článku:

Macintosh HD> Knižnica> Internetové pluginy

Macintosh HD> Používatelia> používateľské meno > Knižnica> Internetové pluginy