Agli utenti di OS X piace prendere in giro gli utenti di Windows come gli unici che hanno un problema di malware. Ma semplicemente non è più vero e il problema è aumentato notevolmente negli ultimi mesi. Unisciti a noi mentre esponiamo la verità su ciò che sta realmente accadendo e, si spera, avvertiamo le persone del destino imminente.
Poiché in realtà è Unix sotto il cofano, OS X ha una protezione nativa contro i peggiori tipi di virus. Ma il problema in questi giorni non sono i virus che danneggiano completamente il tuo computer, sono spyware, crapware e adware che si intrufolano nel tuo computer, dirottano il tuo browser, inseriscono annunci e tengono traccia di ciò che stai guardando. E in gran parte è legale, perché vieni indotto a fare clic sulla cosa sbagliata durante un programma di installazione.
RELAZIONATO: Download.com e altri raggruppano l'adware di rottura HTTPS in stile Superfish
E ora siti di download, annunci falsi di software sui motori di ricerca e applicazioni abbozzate raggruppano adware e crapware in programmi di installazione per software legittimo. Non puoi più dare per scontato di essere al sicuro perché sei su OS X. Devi stare attento a cosa scarichi e a cosa fai clic.
Se non pensi che sia un grosso problema, ripensaci. Questi pezzi di adware si inseriscono direttamente nel browser e vengono analizzati e eseguiti anche su siti protetti come la tua banca, il sito della carta di credito e la posta elettronica, inviando i dati ai loro server. Non stanno usando un proxy di dirottamento HTTPS abbastanza ancora da quello che possiamo dire durante la nostra ricerca, ma è solo una questione di tempo, e potrebbero già farlo e non abbiamo ancora trovato la prova.
Poiché noi stessi siamo principalmente utenti Mac qui a How-To Geek, speriamo davvero che Apple adotti una tattica diversa con questo problema rispetto a Microsoft con Windows e non permetta a questi artisti della truffa di distruggere la loro piattaforma.
Crapware in bundle per OS X sta peggiorando ogni giorno
Non è passato molto tempo da quando si poteva installare quasi tutto per OS X da quasi tutti i siti Web e non dovevi preoccuparti di ciò su cui hai cliccato. Non è più vero e, sebbene le cose siano migliori di quanto non siano su Windows, a questo punto è solo questione di tempo.
RELAZIONATO: Ecco cosa succede quando installi le 10 migliori app di Download.com
Hai ancora una fonte sicura per il software con il Mac App Store, ma il problema è che non tutti i fornitori vendono il loro software tramite l'App Store e molti di loro vendono versioni precedenti lì e hanno l'ultima versione sul proprio sito web. Se ti attieni all'App Store, non hai nulla di cui preoccuparti. Ci piacerebbe vedere Apple risolvere alcuni problemi dell'App Store e fare in modo che tutti lo usino.
Proprio come su Windows, tu non c'è bisogno di guardare oltre CNET Downloads per trovare crapware in bundle ... anche per Mac. Esatto, sono diventati multipiattaforma con queste assurdità. E hanno peggiorato le cose, perché hai un pulsante Installa o un pulsante Chiudi. Non c'è nemmeno più un declino! Quando fai clic su Chiudi, il programma di installazione si chiude completamente. Quindi o hai in bundle crapware che dirotta il tuo browser, oppure non puoi installare quell'app.
Quello nello screenshot installa Spigot e un sacco di altre sciocchezze che reindirizzano il tuo browser a Yahoo, installa un sacco di plugin indesiderati e generalmente fa piangere il mostro volante degli spaghetti. È incredibile quanti soldi Yahoo debba investire in queste cose per dirottare il tuo browser al loro motore di ricerca ... quando non è nemmeno il loro. Yahoo Search è in realtà solo una versione rinominata di Bing. Oh bene.
Oh mio! Nella schermata successiva, il programma di installazione ti consente finalmente di rifiutare di nuovo qualcosa! Forse la cosa nello screenshot è così brutta che anche CNET Downloads non vuole forzarti. Non è un buon segno.
Naturalmente, non sono solo i download CNET a fare il raggruppamento: abbiamo trovato una serie di altre app distribuite su siti di download gratuiti che stanno facendo il loro raggruppamento. Ad esempio, YTD that carica l'adware che dirotta HTTPS per Windows ha una versione per Mac. E stanno anche raggruppando Spigot. Vuoi torrent qualcosa? Perché non vai a scaricare uTorrent dal loro sito web? Sembra che le persone adorino usarlo. Ohhh.
Il problema diventa molto, molto peggiore quando provi a cercare freeware usando il tuo motore di ricerca preferito. Vale la pena notare qui questo Google ha appena iniziato a tentare di vietare il crapware in bundle dai risultati e dagli annunci, ma purtroppo Yahoo e Bing non hanno lo stesso livello di fantastico. In effetti, sono semplicemente terribili.
Se sei un utente normale e medio e cerchi Yahoo per "download vlc", ti verrà presentato qualcosa che assomiglia allo screenshot successivo. E ogni singola cosa sulla pagina è in realtà un collegamento a un programma di installazione crapware in bundle per VLC, e quasi tutti sono multipiattaforma e funzionano su OS X. E il testo che dice "annuncio" è quasi invisibile.
Quando un utente ignaro tenta di utilizzare uno di questi programmi di installazione, gli verrà presentata una schermata simile a questa ... che installa l'orrenda InstallMac che dirotta tutto e inserisce adware nel tuo sistema - è terribile. E, naturalmente, la schermata successiva cerca di farti installare qualcos'altro che non ti serve. E poi qualcos'altro. Sono così tanti crapware.
Abbiamo trovato molto più software che viene offerto in questo modo, con un sacco di programmi di installazione da quasi tutte le società di installazione di crapware in bundle. Ecco un wrapper di installazione per OpenOffice in bundle con un pezzo di adware davvero schifoso che prende il sopravvento sul tuo browser. Sì, abbiamo cercato nuovamente in Yahoo di OpenOffice e abbiamo fatto clic su quello che pensavamo fosse il sito reale perché il testo del loro "annuncio" era così piccolo che non potevamo distinguere. E questo è quello che è successo.
Sta per diventare un'epidemia per gli utenti Mac. Quindi cosa dobbiamo aspettarci?
Adware e malware su OS X sono quasi terribili come su Windows
Quando riesci a essere infettato da qualcosa, la maggior parte degli adware, malware e spyware su OS X cercheranno di infettare il tuo browser in qualche modo, dirottando la tua nuova scheda, la ricerca e le home page, iniettando annunci nelle pagine e in modo casuale spuntando odiosi avvisi di supporto tecnico. La maggior parte non cancellerà il tuo disco rigido o qualcosa di veramente terribile ... ma in base alla crescente raffinatezza che stiamo vedendo, è solo una questione di tempo.
Molti di questi browser hijacker inseriranno annunci che compaiono messaggi che non possono essere eliminati indipendentemente da ciò che fai, come puoi vedere nello screenshot qui sopra. E verranno visualizzati in modo casuale tutto il tempo durante la navigazione e devi CMD + Q per chiudere completamente l'app per sbarazzartene. In sostanza, il tuo browser diventa completamente inutile.
L'adware più semplice si installerà nel tuo browser come estensione e resetterà tutte le tue pagine per passare attraverso il loro terribile, terribile motore di ricerca. E con questo intendiamo principalmente Yahoo ... ma ce ne sono molti altri come searchmoose, search-quick e searchbenny che usano i loro motori di ricerca fasulli. Alcuni di loro ti reindirizzeranno a Bing, ma mai direttamente. È sempre tramite un intermediario come Trovi.
La maggior parte degli annunci che vengono iniettati proveranno a indurti a installare ancora più annunci utilizzando falsi messaggi di plug-in Java o messaggi che ti dicono di installare un codec o una nuova versione di Flash. Tutti questi sono falsi, ovviamente, e installeranno ancora più crapware e malware sul tuo computer. Di tanto in tanto uno di loro proverà a fornire un pezzo di adware di Windows, ma per la maggior parte sono abbastanza intelligenti da sapere che sei un utente Mac e fornire il pezzo di crapware appropriato.
Molti adware reindirizzeranno il tuo motore di ricerca a un falso motore di ricerca che assomiglia molto a Google o Bing, ma tutti i risultati non sono altro che annunci.
E poi inizierà a parlare a caso con te. Letteralmente. Riproduce annunci audio tramite gli altoparlanti. Abbiamo sentito un annuncio per Northrup Grumman. Quanto è pazzo? (Siamo abbastanza sicuri che non lo sappiano.)
Abbiamo appena mostrato alcuni dei fastidiosi adware, ma gran parte del crapware in bundle è anche roba piuttosto scadente, e quasi ogni singolo bundler di crapware che abbiamo trovato, e quasi ogni singolo annuncio di adware ha cercato di farci installare MacKeeper. Non ne sappiamo molto, anche se abbiamo in programma di esaminare come funziona perché queste tattiche sono discutibili.
La più grande tendenza che abbiamo notato negli adware è che quasi tutti cercano di reindirizzare il browser e il motore di ricerca a Yahoo. Qualcuno laggiù in Yahoo deve essere licenziato.
Scavando più a fondo: come funziona effettivamente alcuni di questi malware
Il semplice adware funziona come la maggior parte degli adware, installandosi nelle estensioni di Safari, che è abbastanza facile da disinstallare. Il problema è che solo pochi adware hanno funzionato in questo modo nella nostra ricerca.
Tutto il dirottamento del motore di ricerca, il reindirizzamento della home page e le estensioni che iniettano annunci sono una cosa. Il problema più grande è il malware serio, che si installa in profondità nel sistema operativo e la persona media non sarebbe mai in grado di rimuoverlo. Non ci sono programmi di disinstallazione, non ci sono elementi di avvio, non ci sono plug-in nel tuo browser, estensioni o qualsiasi altra cosa che sembra essere installata.
Quello che ci sono, tuttavia, sono annunci davvero orribili iniettati in tutto ciò che fai, rendendo il tuo computer più lento dello sporco. Il tuo motore di ricerca verrà dirottato ed è possibile che il tuo browser venga instradato tramite un proxy. Questo è un vero e proprio malware, non è più solo un adware, anche se ti sei accidentalmente dimenticato di deselezionare una casella da qualche parte. Funziona allo stesso modo Trovi malware does on Windows , iniettandosi nei processi.
Questi malware più seri si installano come daemon, o servizio, che viene eseguito in background e dietro le quinte. Puoi trovare queste cose nella cartella / Library / LaunchAgents o / Library / LaunchDaemons, che conterrà alcuni elementi dall'aspetto davvero strano che semplicemente non appartengono. Questa cartella potrebbe anche essere utilizzata per cose reali da applicazioni reali, quindi non pulire completamente questa cartella o altro.
Un esame del file plist ti mostrerà dove risiede il malware effettivo, che di solito si trova in una cartella completamente separata.
Quando entri in quella cartella ed esamini il file Version.plist, otterrai alcune informazioni in più su ciò che sta effettivamente accadendo. Questa cosa si chiama Search-Quick e supporta il dirottamento di Chrome e Safari, così come la build notturna di Webkit per qualche motivo.
Esaminando ulteriormente viene fuori qualcosa di curioso ... la persona che ha scritto questo malware ha voluto rendere un ringraziamento speciale a sua madre.
Una volta che il malware viene lanciato da OS X come daemon, utilizza una funzionalità poco conosciuta in OS X che consente a un processo di iniettarsi in un altro processo. Puoi vedere come funziona aprendo un terminale ed eseguendo direttamente l'eseguibile dell'agente. Quello che sta effettivamente succedendo è che si attaccherà al tuo browser web e si caricherà come un'estensione nascosta. Nello screenshot qui sotto puoi vedere che è stato attivato per l'ID di processo 544, che era Google Chrome. Farà lo stesso con Safari se è aperto.
Ciò significa che è in esecuzione adware o malware dentro del tuo browser web, inserendosi in ogni pagina che visiti. Non importa se stai visitando un sito di banking sicuro o meno, sono già all'interno. Uno degli effetti collaterali di questo malware è che l'intero computer sarà estremamente lento, sempre, indipendentemente da ciò che stai facendo.
Per alcuni suggerimenti sulla rimozione di adware e malware in OS X, puoi farlo leggi il documento di supporto Apple , o semplicemente aspetta i nostri prossimi articoli sull'argomento. Faremo molte più ricerche su tutte queste cose.
Quindi cosa significa tutto questo e come ti proteggi?
Anche se abbiamo dimostrato che malware, adware, crapware e spyware stanno peggiorando sempre di più su OS X, ciò non significa che devi necessariamente preoccuparti o uscire e installare Linux o fare qualcosa di drastico. OS X non è ancora preso di mira tanto quanto Windows e sono ancora in atto alcune misure di sicurezza che rendono più difficile il passaggio del malware.
La cosa più sicura che puoi fare è utilizzare il Mac App Store per installare le tue applicazioni quando possibile. Queste applicazioni sono state verificate da Apple e dovrebbero andare bene da usare, e sicuramente non verranno fornite con alcun crapware o adware in bundle.
Limita le app che non provengono dall'App Store
Questo non risolverà completamente il problema, ma puoi configurare OS X in modo che limiti automaticamente tutti gli eseguibili che non provengono dall'App Store. Questo non si applica alle applicazioni già installate sul tuo computer, indipendentemente dalla loro provenienza. Si applicherà semplicemente ai nuovi download.
Vai a Preferenze di Sistema -> Sicurezza e Privacy, fai clic sull'icona del lucchetto in basso, quindi capovolgi l'impostazione su Mac App Store invece di quella predefinita.
Dopo aver eseguito questa operazione, il tentativo di eseguire qualsiasi cosa che non è presente nell'App Store mostrerà automaticamente un messaggio di blocco. Puoi scegliere di aprirlo ancora se fai clic con il pulsante destro del mouse e scegli Apri, quindi scegli di nuovo Apri, ma per impostazione predefinita tutto è bloccato.
Questo non risolve il problema delle applicazioni che tu fare desidera installare con crapware in bundle che richiede la disattivazione per impostazione predefinita. Ma è un ottimo ambiente di sicurezza per i tuoi parenti.
Quando è necessario installare un'applicazione da un'altra parte, assicurarsi che sia davvero una fonte attendibile e non un sito falso che offre freeware open source con un wrapper bundleware.
RELAZIONATO: Oracle non può proteggere il plug-in Java, quindi perché è ancora abilitato per impostazione predefinita?
Dovresti anche considerare di disabilitare i plugin del tuo browser - per Chrome e Firefox, è abbastanza facile , per Safari è un file un po 'più complicato . La cosa più importante che puoi fare è disabilita il tuo plugin Java , perché è piuttosto raro che tu ne abbia bisogno, e perché Java è stato responsabile del 91% degli attacchi nel 2013 . Ciò ridurrà la tua probabilità di essere presi di mira con un attacco zero-day .
Potrebbe anche essere il momento di iniziare a considerare un antivirus per OS X, almeno se ti piace installare molti software da fonti esterne all'App Store. Se non lo fai, probabilmente non è un grosso problema, ma ci stiamo avvicinando al punto in cui sarà necessario. Quello che non siamo ancora sicuri è quale antivirus per Mac valga la pena e blocchi questo tipo di cose: su Windows, la maggior parte degli antivirus non blocca affatto crapware e adware in bundle, perché sono legali poiché devi essere d'accordo durante il processo di installazione. Quindi non limitarti a pagare per un antivirus adesso. Tienilo a mente per il futuro.
Oltre a questo, fai solo attenzione a ciò su cui fai clic e non fidarti dei messaggi di errore che compaiono nella finestra del tuo browser web. Se vedi qualcosa che dice che il tuo computer è infetto e viene visualizzato un messaggio, tieni premuta la combinazione di tasti di scelta rapida CMD + Q per chiudere immediatamente tutto.
Non c'è momento migliore per gli utenti Windows per passare al Mac. Con tutto questo crapware e adware in fase di sviluppo, si sentiranno come a casa! (Stiamo scherzando, ovviamente.)
