VindInstaller

VindInstaller se clasifica como adware y paquete de pago por instalación. El objetivo es entregar PUP (programas potencialmente no deseados) al sistema Mac del usuario sin llamar la atención. Se emplean varias técnicas de marketing engañosas para lograr esto, como tener el proceso de instalación del PUP ya preseleccionado y oculto dentro de la instalación de un producto gratuito popular. Como resultado, una o más aplicaciones desapercibidas pueden instalarse en la computadora sin que el usuario se dé cuenta. Otra táctica común es pretender entregar una nueva versión o actualización del reproductor Adobe Flash, sin importar cuál fue la funcionalidad originalmente anunciada de la aplicación descargada por el usuario. Generalmente, PUP no representa una amenaza directa para el sistema, pero conduce a una experiencia de usuario muy disminuida. La mayoría de los programas basura son programas publicitarios o secuestradores de navegadores que entregan materiales publicitarios no deseados y cuestionables en un esquema para generar ganancias monetarias para el desarrollador de la aplicación.

VindInstaller sigue evolucionando

VindInstaller no es un nuevo malware creado para afectar a los usuarios de macOS. De hecho, ha existido durante casi una década y las primeras muestras se detectaron en 2013. Durante ese período, sin embargo, VindInstaller ha estado evolucionando e incorporando nuevas técnicas para ser más eficaz y menos probable que el software de seguridad lo detecte. Hasta ahora, se han establecido tres variantes distintas.

El primero se llama VindInstaller.A y representa la forma más básica del malware. Es principalmente un secuestrador de navegador dirigido a Chrome, Firefox y Safari, así como un instalador de paquetes Genieo. Siendo la primera encarnación, VindInstaller.A no contiene rutinas de ofuscación o técnicas anti-análisis.

La siguiente variante, VindInstaller.B, muestra el alcance ampliado de los objetivos de los ciberdelincuentes. Está equipado con capacidades de recopilación de datos que recopilan detalles sobre la versión del sistema operativo de la víctima. Para entregar los productos PUP en la computadora afectada, VindInstaller.B contacta una URL específica. Si bien esta variante también carece de ofuscación, su mecanismo de entrega de scripts de shell está diseñado para evitar la detección por parte de productos basados en firmas y ciertos motores de espacio aislado.

La última variante observada es VindInstaller.Gen. Nuevamente emplea una adaptación de los scripts de shell que se notaron por primera vez en el malware Shlayer y Bundlore para evitar ser atrapado por productos anti-malware heredados y software de seguridad basado en firmas. Sin embargo, VindInstaller.Gen utiliza la clase NSAppleScript, lo que le permite obtener la funcionalidad de AppleScript sin tener que pasar por la utilidad osascript. Al utilizar el alcance de la implementación de NSAppleScript, se pueden reconocer dos versiones de VindInstaller.Gen: 'mdm.macLauncher' y 'osxdl.Downloader'. De los dos, 'osxdl.Downloader' se apoya más en él mediante el uso de la clase DandIThread.