Mac OSトロイの木馬がChrome、Safari、Firefoxに広告を挿入する

Mac OS Xユーザーが突然さまざまなWebサイトにポップアップ広告が表示されるのを見ると、広告を挿入するトロイの木馬に感染している可能性があります。

ロシアのアンチウイルス製品であるDr. Webによって最初に特定されたMac OS Xを標的とするマルウェアバリアントである「Trojan.Yontoo」は、他のプラグインまたはアプリケーションであるとユーザーをだましてダウンロードさせます。 このマルウェアは、コンピューターにインストールされると、Safari、Chrome、Firefoxに広告を挿入します。 PCMag.comが以前に報告したように、ユーザーは映画の予告編をホストしているサイトにYontooをブラウザープラグインとしてインストールするように求められます。 Yontooは、メディアプレーヤー、ダウンロードアクセラレータ、または「ビデオ品質向上プログラム」としての役割も果たします。

ユーザーが「Free Twit Tube」と呼ばれるアプリケーションのインストールに同意すると、トロイの木馬は、Safari、Firefox、Chromeなど、システム上の既存のブラウザー用のプラグインをインストールします。 YontooはユーザーのWebブラウジングアクティビティを監視し、その情報をリモートサーバーに送信します。 その後、マルウェアは広告を挿入するページに関する指示を受け取ります。 このようにして、マルウェアの背後にあるグループは、ほぼすべてのWebサイトで広告のインプレッションを収集します。

「一部のユーザーは、知らないうちに感染する可能性があります。ポップアップメッセージや広告は広く普及しているため、訓練されていない目に疑念を抱くことはありません」

実際の感染数は現在入手できません。 ウイルス対策ソリューションを実行しているMac OS Xユーザーの割合は比較的小さいため、そもそも何人が感染したかを知ることは困難です。

今のところ、ただのアフィリエイト広告プログラム

広告自体は、マルウェアをダウンロードしたりソフトウェアホールを悪用したりしないという意味で悪意のあるものではありません。 また、YontooはOS Xのセキュリティホールを利用していないようですが、ターゲットシステムに自身をインストールするためにソーシャルエンジニアリングに依存しています。

Yontooの主な目標は、幅広いWebサイトでのアフィリエイト広告を活用することである、とBotezatuは述べています。 このトロイの木馬は、そのページに広告がない場合でも、ユーザーが閲覧しているWebページのアフィリエイトバナーに感染します。 eコマースサイトにバナーが表示され、ユーザーの注意を引くことがあります。 ユーザーは合法的な広告だと思ってバナーをクリックし、別のサイトにリダイレクトされる可能性があります。マルウェアの背後にいるグループは、アフィリエイトプログラムの一部として支払いを受けます。

Dr. Webは、AppleのWebサイトにApple関連の広告が挿入されていることを発見しました。 Botezatuはそれが単なる偶然かどうかはわかりませんでしたが、攻撃者は実際にサイトのコンテキストとユーザーの地理的位置を使用して広告を標的にしているようです。

特に洗練されたマルウェアではありませんが、ブラウザにコードが存在し、すべての情報を監視しているという事実は怖くて危険です、とBotezatuは言いました。 犯罪者はいつでもアプローチを変えることができ、今日、明日、広告を注入するかもしれませんが、エクスプロイトコードの挿入やフィッシングサイトやドライブバイダウンロード攻撃サイトへのユーザーの誘導に切り替えることができます。 マルウェアの構造は、不正な広告を表示したり、ブラウザのCookieを盗んだりするように変更することもできます、とBotezatuは言いました。

また、シマンテックは以前にYontooのWindowsバージョンを特定していたため、Mac OS Xだけに限定されません。 Mac OS X向けのアドウェアはしばらくの間増加しており、Macユーザーは不注意に自分自身に感染しないように、ダウンロードおよびインストールするアプリケーションについて注意する必要があります。