VindInstaller

VindInstallerは、アドウェアとインストールごとの支払いのバンドルとして分類されます。目標は、PUP（望ましくない可能性のあるプログラム）をユーザーのMacシステムに注意を引くことなく配信することです。これを実現するために、PUPのインストールプロセスが事前に選択され、人気のあるフリーウェア製品のインストール内に隠されているなど、さまざまな欺瞞的なマーケティング手法が採用されています。その結果、ユーザーが気付かないうちに、1つ以上の見過ごされているアプリケーションがコンピューターにインストールされる可能性があります。もう1つの一般的な戦術は、ユーザーがダウンロードしたアプリケーションの最初に宣伝された機能に関係なく、AdobeFlashの新しいバージョンまたはアップデートを提供するふりをすることです。一般に、PUPはシステムに対する直接の脅威ではありませんが、ユーザーエクスペリエンスの大幅な低下につながります。ほとんどのPUPは、アドウェアまたはブラウザハイジャック犯のいずれかであり、アプリケーションの開発者に金銭的利益をもたらすスキームで、不要で疑わしい広告資料を配信します。

VindInstallerはまだ進化しています

VindInstallerは、macOSユーザーを悩ますために作成されたまったく新しいマルウェアではありません。実際、最も初期のサンプルが2013年に検出されてから、ほぼ10年が経過しました。ただし、その間、VindInstallerは進化し、新しい技術を取り入れて、セキュリティソフトウェアによって検出される可能性が低くなり、より効果的になりました。これまでに、3つの異なるバリアントが確立されています。

最初のものはVindInstaller.Aと呼ばれ、マルウェアの最も基本的な形式を表しています。これは主に、Chrome、Firefox、Safariをターゲットとするブラウザハイジャッカーであり、Genieoバンドルインストーラーでもあります。 VindInstaller.Aは最も初期の化身であるため、難読化ルーチンや分析防止手法は含まれていません。

次の亜種であるVindInstaller.Bは、サイバー犯罪者の目標の拡大された範囲を示しています。被害者のOSバージョンに関する詳細を収集するデータ収集機能を備えています。影響を受けるコンピューターにPUP製品を配信するために、VindInstaller.Bは特定のURLに接続します。このバリアントにも難読化はありませんが、そのシェルスクリプト配信メカニズムは、署名ベースの製品や特定のサンドボックスエンジンによる検出を回避するように設計されています。

観察された最新のバリアントはVindInstaller.Genです。また、ShlayerマルウェアとBundloreで最初に認識されたシェルスクリプトを採用して、レガシーのマルウェア対策製品と署名ベースのセキュリティソフトウェアに捕らえられるのを回避しています。ただし、VindInstaller.GenはNSAppleScriptクラスを使用するため、 osascriptユーティリティを経由せずにAppleScript機能を取得できます。 NSAppleScript実装の範囲を使用することにより、VindInstaller.Genの2つのバージョン（「mdm.macLauncher」と「osxdl.Downloader」）を認識できます。 2つのうち、「osxdl.Downloader」は、DandIThreadクラスを使用することで、より大きく依存しています。