Las empresas que viven del adware ganan mucho dinero como para dejar de evolucionar sus técnicas de instalación de sus productos, y entre ellas Genieo es una de las más activas en OS X, como estamos pudiendo comprobar en los últimos tiempos. La última noticia que tuvimos de su actividad se refería a cómo estaban haciendo uso del truco de simular ser una actualización de Adobe Flash para intentar engañar al usuario y conseguir la instalación de su adware, que apuntaba en esta ocasión a Softonic como partner - empresa que ya ha sido acusada varias veces de distribuir crapware -.
Tras un análisis más en profundidad por Thomas Reed en The Safe Mac, se pudo comprobar como ese adware que estaba distribuyéndose llevaba incluida como sorpresa la descarga de un "viejo" amigo para los usuarios de Mac OS X, el malware OSX/FKCodec-A. En nuevas variaciones, se ha visto que el adware de Genieo se está distribuyendo con los mismos trucos de ingeniería social basados en Codecs de vídeo, a través de sitios web que simulan el proceso de instalación de plugins de los navegadores, consiguiendo engañar al usuario para lograr la ejecución del software.
 |
| Figura 1: Página simulando la instalación de un plugin del navegador con una barra amarilla |
Una vez instalada esta última variante, en Intego han analizado el comportamiento - solo compatible en Mac OS X 10.6 y Mac OS X 10.7 - en el que solicitan la contraseña y la instalación de Java a la vez que desactiva el flag de la cuarentena de XProtect para no generar ninguna alerta al usuario.
 |
| Figura 2: Desactivación del flag de cuarentena de XProtect en el adware |
Una vez lo consiguen y está en ejecución, como explica Thomas Reed, este adware se introduce como un LaunchAgent de Apple Safari para lograr la persistencia en el sistema con el nombre de archivo com.genieoinnovation.macetension.plist, e intercepta todas las peticiones a los buscadores, no dejándose desinstalar de ninguna forma manual.
Para acabar con él el número de acciones que hay que realizar es alta, por lo que se recomienda si es posible tirar de una copia de restauración del sistema. Puedes localizarlo en tu equipo haciendo uso de OSX/Autoruns y analizando los LaunchAgents, y si lo encuentras en tu sistema tienes aquí algunas instrucciones de cómo quitarlo.
Para acabar con él el número de acciones que hay que realizar es alta, por lo que se recomienda si es posible tirar de una copia de restauración del sistema. Puedes localizarlo en tu equipo haciendo uso de OSX/Autoruns y analizando los LaunchAgents, y si lo encuentras en tu sistema tienes aquí algunas instrucciones de cómo quitarlo.
 |
| Figura 3: Solicitud de Instalación de Java para ejecución de Genieo |
Lo más importante, en cualquier caso, es que tomes precauciones para evitar este tipo de adware actualizando tu sistema, no ejecutando la instalación de software desde repositorios no oficiales, teniendo un antimalware en tiempo real activado, y no introduciendo tu contraseña de administrador en la instalación de plugins descargados por recomendación de webs nunca.
No hay comentarios:
Publicar un comentario