以色列一家名叫TargetingEdge的公司是最近被检测到的Mac恶意广告软件OSX.Pirrit的幕后公司,Cybereason的安全研究人员Amit Serper在今天发布的一份报告中说。
Pirrit是一个著名的Windows广告软件程序片段的名字,出现在2014年左右。Serper在4月早些时候第一个发现了这个针对Mac用户的广告软件版本,当时他发布了一份报告,列出了该广告软件的恶劣行为。
不像Windows版本一样只在你的网站流量中注入广告, Mac版本的Pirrit是更危险的,因为它还会获得被感染的Mac的root权限,并且有能力安装一些二进制文件,比如一个键盘记录器。
新的OSX.Pirrit版本包含关于作者的线索
Serper继续追踪了该恶意广告软件的演化过程,甚至创建了一个脚本来从被感染的系统中删除Pirrit。最近,他采访了一个用户,该用户抱怨Serper的脚本未能把Pirrit从他的电脑中删除。
研究者很快明白了Pirrit的创作者又发布了一个新版本修复了他在4月份的报告中报告的问题,比如残留的Windows代码,而且他们还设法攻破了Pirrit的移除脚本。
幸运的是,Pirrit的创造者忘了删除该恶意广告软件在受感染的系统上遗留下的一个记录。Serper的解释如下:
“tar.gz压缩格式是一个Posix格式,这意味着当在电脑上创建该存档时它还保存存档里所有文件的属性(如所有者和权限)。所以当我列出存档中的文件时,我可以看到创建该存档的人的用户名。”
Pirrit创造者使用他的名字和姓氏作为电脑的用户名创建了存档。这个名字属于TargetingEdge公司(一家以色列网络营销公司)的一位高管。具有讽刺意味的是,该公司的LinkedIn的资料如下:
“TargetingEdge 为全球市场营销和广告公司提供认证的mac安装程序,该公司还提供机会收购大量剩余mac流量,并且提供从一个已经存在的用户池中获得额外收入的机会。”
这家公司还与另外两家公司共享相同的董事会和特性,其中一家公司销售视频平台和TLV媒体,另一家公司提供广告盈利的平台。
OSX.Pirrit伪装成合法的广告软件安装程序分布在隐藏的下载网站上
根据Serper的报道,TargetingEdge的“网络营销[…]Mac认证安装程序”指的是Pirrit广告软件,该公司提供给下载网站,反过来,下载网站将其捆绑到合法的Mac软件上,如MPlayerX NicePlayer和VLC。
与该广告软件Windows版本提供明确的退出选项和卸载选项不同的是, Pirrit的Mac版本更具欺骗性。
Serper说OSX.Pirrit不仅没有提供最终的用户许可协议来明确地解释Pirrit会做什么,也没有提供一个简单的卸载过程。
OSX.Pirrit安装程序将卸载指令深埋在一个临时文件夹或隐藏的用户主目录中,使得没有理智的人会去寻找这样的细节。
分析了通过OSX.Pirrit的4月份版本下载的归档文件, Serper发现了同样的线索证实了他的发现。不过这一次,该恶意广告软件是被TargetingEdge 的一名Web开发人员组装的。
这是自Check Point发布了一份关于中国公司Yingmob与恶意软件YiSpecter (iOS)和 HummingBad (Android) 有关联的报告之后第二个广告公司被发现与恶意软件有关联。