La società di sicurezza Dr. Web sta segnalando un nuovo attacco Trojan adware destinato agli utenti Mac, in cui siti Web dannosi indurranno gli utenti a installare un plug-in che monitorerà la tua navigazione e visualizzerà annunci pubblicitari.

Il malware, denominato "Yontoo", verrà inizialmente utilizzato come lettore multimediale, download manager o altro requisito di plug-in per la visualizzazione di contenuti su siti Web maliziosamente mascherati come fonti per la condivisione di file e trailer di film. Quando si fa clic sul prompt del plug-in, si viene reindirizzati a un sito che scarica il programma di installazione di Trojan e richiede di eseguirlo. L'installer è per un falso programma chiamato "Twit Tube", che quando installato installerà un plug-in Web o un'estensione chiamata "Yontoo" che verrà eseguito in browser popolari come Safari, Chrome e Firefox.

Quando il malware è in esecuzione, i sistemi interessati verranno monitorati attivamente per i comportamenti di navigazione e i siti Web legittimi verranno dirottati con banner pubblicitari e altri contenuti che tentano di indurti a fare clic su di esso.

Il malware sembra essere un tentativo di introiti pubblicitari dei criminali dietro di esso, ma se hai recentemente installato un plug-in sospetto sul tuo sistema e stai vedendo link bizzarri che appaiono su siti Web frequentati, controlla i tuoi plug-in installati per qualsiasi traccia di questo malware. Puoi farlo in Safari e Chrome andando alle preferenze "Estensioni" per vedere se è presente una chiamata Yontoo, ma puoi anche selezionare l'opzione "Plug-in installati" nel menu Guida di Safari per visualizzare le informazioni sul plug-in. ins. Per Chrome, copia e incolla l'URL "chrome: // plugins /" nel campo dell'indirizzo del browser per accedere alle impostazioni del plug-in. In Firefox puoi scegliere "Add-on" dal menu Strumenti per verificare estensioni e plug-in.

Se trovi una traccia del plug-in Yontoo sul tuo sistema, anche se puoi disabilitarlo in ogni browser Web, un'opzione più approfondita è quella di andare su Macintosh HD> Libreria> Cartella plug-in Internet e rimuovere la spina -in manualmente. Inoltre, dovresti controllare la cartella plug-in per la tua home directory, a cui puoi accedere scegliendo Library dal menu Vai nel Finder (tieni premuto il tasto Opzione per rivelare la libreria in questo menu se manca), e poi individua la cartella dei plug-in Internet qui. Quando il plug-in viene rimosso, esci e riavvia il tuo browser.

Poiché i plug-in Web sono un metodo con cui gli sviluppatori di malware possono scegliere come target un sistema, una cosa che puoi fare per aiutare a scongiurare gli attacchi è ottenere un inventario delle tue cartelle di plug-in Web in modo da sapere esattamente cosa c'è dentro e quindi essere in grado di investigare meglio eventuali nuovi oggetti posti lì. Un altro approccio simile è quello di impostare un servizio di monitoraggio in OS X che ti informerà ogni volta che nuovi elementi vengono inseriti nelle cartelle dei plugin Internet sul tuo sistema. Recentemente ho delineato un metodo per fare ciò per monitorare le cartelle di Launch Agent su un Mac e puoi applicare questo metodo ai seguenti due percorsi di directory in aggiunta ai percorsi di Launch Agent descritti nell'articolo:

Macintosh HD> Libreria> Plug-in Internet

Macintosh HD> Utenti> nome utente > Libreria> Plug-in Internet