Опасный установщик распространяет вредоносное ПО для OS X

«Доктор Веб» предупреждает о распространении новой вредоносной программы, атакующей владельцев компьютеров Apple.

Зловред под обозначением Adware.Mac.WeDownload.1 представляет собой поддельный дистрибутив проигрывателя Adobe Flash Player и имеет цифровую подпись «Developer ID Application: Simon Max (GW6F4C87KX)». Данный загрузчик распространяется с использованием ресурсов партнёрской программы, ориентированной на монетизацию файлового трафика.

В ходе инсталляции вредоносная программа запрашивает права суперадминистратора операционной системы и последовательно обращается для загрузки главного окна приложения к трём управляющим серверам, адреса которых указаны в конфигурационном файле. В случае получения ответа зловред отсылает на управляющий сервер POST-запрос, содержащий конфигурационные данные загрузчика в формате JSON (JavaScript Object Notation), а в ответ получает HTML-страницу с содержимым демонстрируемого пользователю окна. Все дальнейшие GET- и POST-запросы установщик снабжает меткой текущего времени и цифровой подписью, формируемой по специальному алгоритму.

Затем установщик получает перечень приложений, которые будут предложены пользователю ПК под управлением OS X для инсталляции. В их число входит ряд опасных троянов, различные шпионы, а также другие нежелательные программы.