VindInstaller
VindInstaller wird als Adware- und Pay-per-Install-Bündelung klassifiziert. Ziel ist es, PUPs (Potentiell unerwünschte Programme) an das Mac-System des Benutzers zu liefern, ohne Aufmerksamkeit zu erregen. Um dies zu erreichen, werden verschiedene irreführende Marketingtechniken eingesetzt, z. B. der Installationsprozess des PUP, der bereits vorausgewählt und in der Installation eines beliebten Freeware-Produkts verborgen ist. Infolgedessen können eine oder mehrere unbemerkte Anwendungen auf dem Computer installiert werden, ohne dass der Benutzer dies überhaupt bemerkt. Eine weitere gängige Taktik besteht darin, vorzugeben, eine neue Version oder ein neues Update für den Adobe Flash-Player bereitzustellen, unabhängig von der ursprünglich angekündigten Funktionalität der vom Benutzer heruntergeladenen Anwendung. Im Allgemeinen stellt PUP keine direkte Bedrohung für das System dar, führt jedoch zu einer stark eingeschränkten Benutzererfahrung. Die meisten PUPs sind entweder Adware- oder Browser-Hijacker, die unerwünschte und fragwürdige Werbematerialien in einem Schema liefern, um dem Entwickler der Anwendung finanzielle Gewinne zu verschaffen.
VindInstaller entwickelt sich weiter
VindInstaller ist keine brandneue Malware, die entwickelt wurde, um MacOS-Benutzer zu plagen. Tatsächlich gibt es das seit fast einem Jahrzehnt, wobei die frühesten Proben bereits 2013 entdeckt wurden. In diesem Zeitraum hat VindInstaller jedoch neue Techniken entwickelt und integriert, um effektiver zu werden und weniger wahrscheinlich von Sicherheitssoftware erkannt zu werden. Bisher wurden drei verschiedene Varianten etabliert.
Die erste heißt VindInstaller.A und repräsentiert die grundlegendste Form der Malware. Es handelt sich hauptsächlich um einen Browser-Hijacker für Chrome, Firefox und Safari sowie um ein Genieo-Bundle-Installationsprogramm. Als früheste Inkarnation enthält VindInstaller.A keine Verschleierungsroutinen oder Antianalysetechniken.
Die nächste Variante, VindInstaller.B, zeigt den erweiterten Umfang der Ziele von Cyberkriminellen. Es ist mit Datenerfassungsfunktionen ausgestattet, mit denen Details zur Betriebssystemversion des Opfers erfasst werden. Um die PUP-Produkte auf den betroffenen Computer zu übertragen, kontaktiert VindInstaller.B eine bestimmte URL. Während dieser Variante auch die Verschleierung fehlt, wurde der Mechanismus zur Bereitstellung von Shell-Skripten entwickelt, um die Erkennung durch signaturbasierte Produkte und bestimmte Sandbox-Engines zu vermeiden.
Die letzte beobachtete Variante ist VindInstaller.Gen. Es wird erneut eine Anpassung der Shell-Skripte verwendet, die erstmals in der Shlayer- Malware und in Bundlore festgestellt wurden, um nicht von älteren Anti-Malware-Produkten und signaturbasierter Sicherheitssoftware erfasst zu werden. VindInstaller.Gen verwendet jedoch die NSAppleScript-Klasse, um AppleScript-Funktionen zu erhalten, ohne das Dienstprogramm osascript durchlaufen zu müssen. Anhand des Umfangs der NSAppleScript-Implementierung können zwei Versionen von VindInstaller.Gen erkannt werden - 'mdm.macLauncher' und 'osxdl.Downloader'. Von den beiden stützt sich 'osxdl.Downloader' durch die Verwendung der DandIThread-Klasse stärker darauf.
