Công ty bảo mật Dr. Web đang báo cáo về một cuộc tấn công Trojan phần mềm quảng cáo mới đang nhắm mục tiêu người dùng Mac, nơi các trang web độc hại sẽ lừa người dùng cài đặt một plugin sẽ theo dõi trình duyệt và hiển thị quảng cáo của bạn cho bạn.

Phần mềm độc hại có tên "Yontoo" sẽ lần đầu tiên gặp phải dưới dạng trình phát phương tiện, trình quản lý tải xuống hoặc yêu cầu trình cắm khác để xem nội dung trên một số trang web được tạo thủ công độc hại được ngụy trang dưới dạng nguồn để chia sẻ tệp và đoạn giới thiệu phim. Khi nhấp vào dấu nhắc trình cắm, bạn được chuyển hướng đến một trang web tải xuống trình cài đặt Trojan và yêu cầu bạn chạy nó. Trình cài đặt dành cho chương trình giả mạo có tên là "Twit Tube", khi được cài đặt sẽ đặt một trình cắm hoặc tiện ích mở rộng Web có tên "Yontoo" sẽ chạy trong các trình duyệt phổ biến như Safari, Chrome và Firefox.

Khi phần mềm độc hại đang chạy, các hệ thống bị ảnh hưởng sẽ được theo dõi tích cực cho các hành vi duyệt web và các trang web hợp pháp sẽ bị tấn công bằng các biểu ngữ quảng cáo và nội dung khác cố gắng lôi kéo bạn nhấp vào nó.

Phần mềm độc hại dường như là một nỗ lực doanh thu quảng cáo của bọn tội phạm đằng sau nó, nhưng nếu gần đây bạn đã cài đặt một trình cắm đáng ngờ trên hệ thống của bạn và thấy các liên kết thỏa thuận kỳ lạ xuất hiện trên các trang web thường xuyên, hãy kiểm tra các trình cắm đã cài đặt của bạn để biết bất kỳ dấu vết của phần mềm độc hại này. Bạn có thể thực hiện việc này trong Safari và Chrome bằng cách đi tới tùy chọn "Tiện ích mở rộng" để xem có tên Yontoo nào ở đó không, nhưng bạn cũng có thể chọn tùy chọn "Trình cắm đã cài đặt" trong menu Trợ giúp của Safari để xem thông tin về trình cắm của mình- trong Đối với Chrome, sao chép và dán URL "chrome: // plugin /" vào trường địa chỉ của trình duyệt của bạn để truy cập cài đặt trình cắm. Trong Firefox, bạn có thể chọn "Tiện ích bổ sung" từ menu Công cụ để kiểm tra các tiện ích mở rộng và trình cắm.

Nếu bạn tìm thấy dấu vết của trình cắm Yontoo trên hệ thống của mình, thì mặc dù bạn có thể tắt nó trong mỗi trình duyệt Web, một tùy chọn kỹ lưỡng hơn là vào thư mục Macintosh HD> Thư viện> Trình cắm Internet và xóa trình cắm -Trong thủ công. Ngoài ra, bạn nên kiểm tra thư mục trình cắm cho thư mục chính của mình, có thể truy cập bằng cách chọn Thư viện từ menu Go trong Finder (giữ phím Tùy chọn để hiển thị thư viện trong menu này nếu thiếu), sau đó xác định vị trí thư mục Plug-in Internet tại đây. Khi plugin bị xóa, hãy thoát và khởi chạy lại trình duyệt của bạn.

Vì các trình cắm Web là một phương thức để các nhà phát triển phần mềm độc hại nhắm mục tiêu vào một hệ thống, nên một điều bạn có thể làm để tránh các cuộc tấn công là lấy một kho lưu trữ các thư mục trình cắm Web của bạn để bạn biết chính xác những gì có trong chúng, và sau đó là có thể điều tra tốt hơn bất kỳ mục mới được đặt ở đó. Một cách tiếp cận tương tự khác là thiết lập một dịch vụ giám sát trong OS X sẽ thông báo cho bạn bất cứ khi nào các mục mới được đặt trong các thư mục Internet Plugins trên hệ thống của bạn. Gần đây tôi đã phác thảo một phương pháp để thực hiện việc này để giám sát các thư mục Launch Agent trên máy Mac và bạn có thể áp dụng tương tự phương pháp này cho hai đường dẫn thư mục sau cùng với các đường dẫn Launch Agent được nêu trong bài viết:

Macintosh HD> Thư viện> Trình cắm Internet

Macintosh HD> Người dùng> tên người dùng > Thư viện> Trình cắm Internet