Torna a diffondersi l’adware Spigot con un falso installer Safari

Come individuare i falsi installer che chiedono l'aggiormanento di Safari e installano estensioni pubblicitarie

Antivirus Mac comparativa

Torna a disturbare gli utenti Mac l’adware Spigot, che si era diffuso nel 2013 attraverso alcuni programmi di installazione scaricati tramite il noto sito Download.com.
Poi per molto tempo, Spigot era rimasto nella stessa versione composto da sole cinque estensioni del browser: Searchme, Amazon Shopping Assistant, Ebay Shopping Assistant, Slick Saving, e raramente, Domain Error Assistant.
Recentemente sono state create nuove varianti.

Nel febbraio scorso è stato scoperto un falso installer di Adobe Flash Player che veicola l’installazione dell’adware Searchme che è diverso rispetto alle versioni precedenti.
Questo installer si comporta diversamente in base alla posizione geografica di chi lo installa: negli Stati Uniti ha installato Searchme, mentre per esempio in Francia ha installato Searchtab. 

falso-Safari-installer-adware

Se si controlla l’ultima installazione del portale di download Softonic, si scopre che attualmente installa l’estensione di Safari denominata jbsearch, ed esaminando il codice per questa estensione, risulta essere lo stesso di Searchme e Searchtab.

Le varianti precedenti di questo adware tendevano ad essere accompagnate da un’estensione per Firefox chiamata Set Search Settings. Questo ultimo installer Softonic installa questa estensione in Firefox esattamente nello stesso modo.

Antivirus Mac comparativa

Poi è capitato a diversi utenti di essere reindirizzati ad una pagina web che riportava che Safari non è aggiornato e spingeva a fare un download per aggiornarlo; il programma di installazione cerca di apparire come un installer Safari, ma è una imitazione piuttosto banale.

In esecuzione il programma di installazione, apparirà in una finestra imitando il programma di installazione della Apple dicendo che verrà installato Safari ma ciò non avviene.
Se si fa clic sul pulsante Continua, la seconda fase del processo richiede di accettare la modifica della home page di Yahoo e l’installazione di una estensione di Ricerca Assistita.

In realtà non ci sono prove che Yahoo sia coinvolto e questo potrebbe essere un abuso del loro programma che permette alle persone di creare la propria pagina di ricerca personalizzata e ottenere una parte delle entrate pubblicitarie generate attraverso quella pagina.

Il risultato finale è stata l’installazione di un altra nuova variante dell’adware chiamato “mtsearch.”

È interessante notare che, al termine, il programma di installazione apre Safari su una pagina sostenendo che sia Java che Flash sono richiesti dal programma di installazione.
Cliccando i due pulsanti si viene mandati ad un’altra pagina che vuole farci installare il programma “Media Player HD” che è richiesto di continuare l’installazione.
Facendo clic sul pulsante, si installa un lettore MPlayerX infettato da adware, che installa una variante di Downlite (VSearch) un altro adware!

Questo è un eccellente esempio del genere di truffe che esistono in questi giorni a danno degli utenti Mac che puntano molto a far aggironare in modo fraudolento varie applicazioni presenti sul Mac. In ogni caso, se qualche pagina web viene visualizzata con promesse o minacce inquietanti per invogliare a installare qualcosa, chiuderla immediatamente. Se qualcosa viene scaricato automaticamente, non installallatelo, ma piuttosto eliminatelo!

Se pensate di essere stati colpiti da problemi come questo, seguite la nostra guida alla rimozione Adware.

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeperDownload MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *