บริษัท รักษาความปลอดภัย Dr. Web กำลังรายงานการโจมตีโทรจันแอดแวร์ใหม่ที่กำหนดเป้าหมายผู้ใช้ Mac โดยที่เว็บไซต์ที่เป็นอันตรายจะหลอกให้ผู้ใช้ติดตั้งปลั๊กอินที่จะติดตามการเรียกดูและแสดงโฆษณาของคุณ
มัลแวร์ที่ชื่อว่า "Yontoo" จะถูกพบเป็นมีเดียเพลเยอร์ตัวจัดการดาวน์โหลดหรือข้อกำหนดของปลั๊กอินอื่น ๆ สำหรับการดูเนื้อหาบนเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งปลอมตัวเป็นแหล่งข้อมูลสำหรับการแชร์ไฟล์และตัวอย่างภาพยนตร์ เมื่อคลิกพร้อมท์ปลั๊กอินคุณจะถูกนำไปยังเว็บไซต์ที่ดาวน์โหลดตัวติดตั้งโทรจันและกำหนดให้คุณเรียกใช้ โปรแกรมติดตั้งใช้สำหรับโปรแกรมปลอมที่เรียกว่า "Twit Tube" ซึ่งเมื่อติดตั้งแล้วจะมีปลั๊กอินของเว็บหรือส่วนขยายที่เรียกว่า "Yontoo" ซึ่งจะทำงานในเบราว์เซอร์ยอดนิยมเช่น Safari, Chrome และ Firefox
เมื่อมัลแวร์กำลังทำงานระบบที่ได้รับผลกระทบจะถูกติดตามอย่างแข็งขันสำหรับพฤติกรรมการท่องเว็บและเว็บไซต์ที่ถูกกฎหมายจะถูกขโมยโดยแบนเนอร์โฆษณาและเนื้อหาอื่น ๆ ที่พยายามหลอกล่อให้คุณคลิก
มัลแวร์ดูเหมือนจะเป็นความพยายามในการหารายได้จากอาชญากรที่อยู่เบื้องหลัง แต่ถ้าคุณเพิ่งติดตั้งปลั๊กอินที่น่าสงสัยในระบบของคุณและเห็นลิงก์จัดการที่แปลกประหลาดปรากฏบนเว็บไซต์ที่เข้าชมบ่อย ๆ ให้ตรวจสอบปลั๊กอินที่ติดตั้งไว้ ร่องรอยของมัลแวร์นี้ คุณสามารถทำสิ่งนี้ได้ใน Safari และ Chrome โดยไปที่การตั้งค่า "ส่วนขยาย" เพื่อดูว่ามีใครเรียก Yontoo อยู่ที่นั่น แต่คุณยังสามารถเลือกตัวเลือก "ปลั๊กอินที่ติดตั้ง" ในเมนูช่วยเหลือของ Safari เพื่อดูข้อมูลบนปลั๊กอินของคุณ อิน สำหรับ Chrome ให้คัดลอกและวาง URL "chrome: // plugins /" ลงในช่องที่อยู่ของเบราว์เซอร์เพื่อไปที่การตั้งค่าปลั๊กอิน ใน Firefox คุณสามารถเลือก "Add-On" จากเมนูเครื่องมือเพื่อตรวจสอบส่วนขยายและปลั๊กอิน
หากคุณพบร่องรอยของปลั๊กอิน Yontoo บนระบบของคุณแม้ว่าคุณจะสามารถปิดการใช้งานได้ในแต่ละเว็บเบราว์เซอร์ แต่ตัวเลือกที่ละเอียดยิ่งขึ้นคือไปที่ Macintosh HD> ไลบรารี> โฟลเดอร์> โฟลเดอร์อินเทอร์เน็ตปลั๊กอินและถอดปลั๊กออก - ด้วยตนเอง นอกจากนี้คุณควรตรวจสอบโฟลเดอร์ปลั๊กอินสำหรับไดเรกทอรีบ้านของคุณซึ่งสามารถเข้าถึงได้โดยเลือก Library จากเมนู Go ใน Finder (กดปุ่มตัวเลือกค้างไว้เพื่อแสดงไลบรารีในเมนูนี้หากหายไป) จากนั้นระบุตำแหน่ง โฟลเดอร์ Internet Plug-In ที่นี่ เมื่อปลั๊กอินถูกลบออกให้ปิดและเปิดเบราว์เซอร์ของคุณใหม่
เนื่องจากปลั๊กอินของเว็บเป็นวิธีการหนึ่งสำหรับนักพัฒนามัลแวร์ในการกำหนดเป้าหมายระบบสิ่งหนึ่งที่คุณสามารถทำได้เพื่อช่วยป้องกันการโจมตีคือการรับสินค้าคงคลังของโฟลเดอร์เว็บปลั๊กอินของคุณเพื่อให้คุณรู้ว่ามีอะไรอยู่ในนั้น สามารถตรวจสอบรายการใหม่ที่วางไว้ได้ดีกว่า อีกวิธีที่คล้ายกันคือการตั้งค่าบริการการตรวจสอบใน OS X ที่จะแจ้งให้คุณทราบเมื่อใดก็ตามที่รายการใหม่ถูกวางไว้ในโฟลเดอร์ Internet Plugins ในระบบของคุณ เมื่อเร็ว ๆ นี้ฉันได้สรุปวิธีการทำสิ่งนี้เพื่อตรวจสอบโฟลเดอร์ Launch Agent บน Mac และคุณสามารถใช้วิธีนี้กับเส้นทางไดเรกทอรีสองเส้นทางต่อไปนี้นอกเหนือจากเส้นทาง Launch Agent ที่อธิบายไว้ในบทความ:
Macintosh HD> ไลบรารี> ปลั๊กอินอินเทอร์เน็ต
Macintosh HD> ผู้ใช้> ชื่อผู้ใช้ > ไลบรารี> ปลั๊กอินอินเทอร์เน็ต
แสดงความคิดเห็นของคุณ