VindInstaller

VindInstaller est classé dans la catégorie des logiciels publicitaires et des offres groupées au paiement par installation. L'objectif est de fournir des PPI (programmes potentiellement indésirables) au système Mac de l'utilisateur sans attirer l'attention. Diverses techniques de marketing trompeuses sont utilisées pour y parvenir, telles que le processus d'installation du PUP déjà présélectionné et caché dans l'installation d'un produit freeware populaire. En conséquence, une ou plusieurs applications inaperçues peuvent être installées sur l'ordinateur sans même que l'utilisateur s'en rende compte. Une autre tactique courante consiste à faire semblant de fournir une nouvelle version ou une mise à jour pour le lecteur Adobe Flash, quelle que soit la fonctionnalité initialement annoncée de l'application téléchargée par l'utilisateur. En règle générale, les PPI ne représentent pas une menace directe pour le système, mais ils conduisent à une expérience utilisateur gravement diminuée. La plupart des PPI sont soit des logiciels publicitaires, soit des pirates de navigateur qui fournissent du matériel publicitaire indésirable et douteux dans le but de générer des gains monétaires pour le développeur de l'application.

VindInstaller est toujours en évolution

VindInstaller n'est pas un tout nouveau malware créé pour affliger les utilisateurs de macOS. En fait, il existe depuis près d'une décennie, les premiers échantillons ayant été détectés en 2013. Au cours de cette période, cependant, VindInstaller a évolué et a incorporé de nouvelles techniques pour devenir plus efficace et moins susceptible d'être détecté par les logiciels de sécurité. Jusqu'à présent, trois variantes distinctes ont été établies.

Le premier s'appelle VindInstaller.A et représente la forme la plus élémentaire du malware. Il s'agit principalement d'un pirate de navigateur ciblant Chrome, Firefox et Safari, ainsi que d'un programme d'installation de bundle Genieo. Étant la première incarnation, VindInstaller.A ne contient aucune routine d'obscurcissement ni aucune technique anti-analyse.

La variante suivante, VindInstaller.B montre la portée élargie des objectifs des cybercriminels. Il est équipé de capacités de collecte de données qui collectent des détails sur la version du système d'exploitation de la victime. Pour livrer les produits PUP sur l'ordinateur affecté, VindInstaller.B contacte une URL spécifique. Bien que cette variante manque également d'obfuscation, son mécanisme de livraison de script shell est conçu pour éviter la détection par les produits basés sur les signatures et certains moteurs de bac à sable.

La dernière variante observée est VindInstaller.Gen. Il utilise à nouveau une adaptation des scripts shell d'abord remarqués dans le malware Shlayer et Bundlore pour éviter d'être attrapé par les produits anti-malware hérités et les logiciels de sécurité basés sur les signatures. Cependant, VindInstaller.Gen utilise la classe NSAppleScript, ce qui lui permet de bénéficier des fonctionnalités AppleScript sans avoir à passer par l'utilitaire osascript. En utilisant l'étendue de l'implémentation de NSAppleScript, deux versions de VindInstaller.Gen peuvent être reconnues - «mdm.macLauncher» et «osxdl.Downloader». Sur les deux, 'osxdl.Downloader' s'appuie davantage sur lui grâce à l'utilisation de la classe DandIThread.