Несколько пользователей Mac OS X опубликовали на официальном форуме компании Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.
Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение, при этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты.
После загрузки файла начинается установка приложения Downlite.app. Данный установщик обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari.
Начать дискуссию