Sikkerhetsselskapet Dr. Web rapporterer om et nytt adware-trojanske angrep som målretter mot Mac-brukere, der ondsinnede nettsteder vil lure brukere til å installere et plugin som vil spore dine surfe- og visningsannonser til deg.

Malware, kalt "Yontoo", blir først oppdaget som en mediespiller, nedlastingsbehandling eller et annet plugin-krav for visning av innhold på noen ondsinnede nettsteder som er skjult som kilder for fildeling og filmtrailere. Når plugin-modulen klikkes, blir du omdirigert til et nettsted som laster ned trojaninstallasjonen og krever at du kjører den. Installatøren er for et falsk program kalt "Twit Tube", som når installert, plasserer en web-plugin eller -utvidelse kalt "Yontoo" som kjører i populære nettlesere som Safari, Chrome og Firefox.

Når malware kjører, vil de berørte systemene spores aktivt for å se på brudd, og legitime nettsteder blir kapret med annonse bannere og annet innhold som prøver å lokke deg til å klikke på den.

Malware ser ut til å være et annonseinntektssøk av de kriminelle som ligger bak det, men hvis du nylig har installert en mistenkelig plugin-modul på systemet ditt og ser bizarre avtalekoblinger som vises på frekventerte nettsteder, må du sjekke de installerte programtilleggene dine for noe spor av denne malware. Du kan gjøre dette i Safari og Chrome ved å gå til innstillingene "Extensions" for å se om en som heter Yontoo er tilstede der, men du kan også velge alternativet "Installert plugin-moduler" på Safari-menyen for å vise informasjon om plugin- ins. For Chrome, kopier og lim inn nettadressen "chrome: // plugins /" i nettleserens adressefelt for å komme til innstillingsinnstillingene. I Firefox kan du velge "Add-Ons" fra Verktøy-menyen for å se etter utvidelser og plugin-moduler.

Hvis du finner spor av Yontoo-plugin-modulen på systemet, kan du, selv om du kan deaktivere det i hver nettleser, gå til Macintosh HD> Library> Internet Plug-Ins-mappen og ta ut pluggen -i manuelt. I tillegg bør du sjekke plugin-mappen for hjemmekatalogen din, som du kan få tilgang til ved å velge Bibliotek fra Go-menyen i Finder (hold alternativtasten for å avsløre biblioteket i denne menyen hvis det mangler), og finn deretter Internett-plugin-mappen her inne. Når plugin-modulen er fjernet, må du avslutte og gjenoppstarte nettleserne.

Siden Web-plugin-moduler er en metode for malwareutviklere til å målrette mot et system, kan du bare gjøre en oversikt over nettpluggin-mappene dine, slik at du vet nøyaktig hva som finnes i dem, og deretter være kunne bedre undersøke eventuelle nye gjenstander plassert der. En annen lignende tilnærming er å sette opp en overvåkningstjeneste i OS X som vil informere deg når nye elementer blir plassert i Internet Plugins-mappene på systemet ditt. Jeg har nylig skissert en metode for å gjøre dette for å overvåke Launch Agent-mapper på en Mac, og du kan på samme måte bruke denne metoden til følgende to katalogbaner i tillegg til Launch Agent-banene som er skissert i artikkelen:

Macintosh HD> Bibliotek> Internett-plugin-moduler

Macintosh HD> Brukere> brukernavn > Bibliotek> Internett-plugin-moduler