A empresa de segurança Dr. Web está informando sobre um novo ataque de cavalo de Tróia de adware direcionado a usuários de Mac, onde sites maliciosos induzem os usuários a instalarem um plug-in que rastreará sua navegação e exibirá anúncios para você.

O malware, chamado "Yontoo", será encontrado pela primeira vez como reprodutor de mídia, gerenciador de downloads ou outro requisito de plug-in para visualização de conteúdo em alguns sites mal-intencionados disfarçados de fontes para compartilhamento de arquivos e trailers de filmes. Quando o prompt do plug-in é clicado, você é redirecionado para um site que baixa o instalador do Trojan e exige que você o execute. O instalador é para um programa falso chamado "Twit Tube", que, quando instalado, colocará um plug-in ou extensão da Web chamado "Yontoo", que será executado em navegadores populares como Safari, Chrome e Firefox.

Quando o malware é executado, os sistemas afetados serão rastreados ativamente em busca de comportamentos de navegação, e sites legítimos serão seqüestrados com banners de anúncios e outros conteúdos que tentam atraí-lo para clicá-lo.

O malware parece ser uma tentativa de receita de publicidade dos criminosos por trás dele, mas se você instalou recentemente um plug-in suspeito em seu sistema e está vendo links de negócios bizarros aparecendo em sites freqüentados, verifique os plug-ins instalados para qualquer rastreio deste malware. Você pode fazer isso no Safari e no Chrome acessando as preferências "Extensões" para ver se alguém chamado Yontoo está presente, mas você também pode selecionar a opção "Plug-ins instalados" no menu Ajuda do Safari para ver as informações em seu plug-in. ins. Para o Chrome, copie e cole o URL "chrome: // plugins /" no campo de endereço do seu navegador para acessar as configurações do plug-in. No Firefox, você pode escolher "Add-Ons" no menu Ferramentas para verificar extensões e plug-ins.

Se você encontrar um traço do plug-in do Yontoo em seu sistema, então, embora possa desativá-lo em cada navegador da Web, uma opção mais completa é ir para a pasta Macintosh HD> Biblioteca> Plug-ins da Internet e remover o plugue -em manualmente. Além disso, você deve verificar a pasta de plug-in para o seu diretório inicial, que pode ser acessado escolhendo Library no menu Ir no Finder (segure a tecla Option para revelar a biblioteca neste menu se estiver faltando), e então localize a pasta Internet Plug-Ins aqui. Quando o plug-in for removido, saia e reinicie seus navegadores.

Como os plug-ins da Web são um método para os desenvolvedores de malware segmentarem um sistema, uma coisa que você pode fazer para evitar ataques é obter um inventário de suas pastas de plug-ins da Web para saber exatamente o que está neles e, em seguida, capaz de investigar melhor quaisquer novos itens colocados lá. Outra abordagem semelhante é configurar um serviço de monitoramento no OS X que o informará sempre que novos itens forem colocados nas pastas Plug-ins da Internet em seu sistema. Eu recentemente delineei um método para fazer isso para monitorar as pastas do Launch Agent em um Mac, e você pode aplicar esse método similarmente aos dois caminhos de diretório a seguir, além dos caminhos do Agente de Lançamento descritos no artigo:

Macintosh HD> Biblioteca> Plug-ins de Internet

Macintosh HD> Usuários> nome de usuário > Biblioteca> Plug-ins da Internet