Come eliminare Safe Finder dal Mac e dai browser

Infezioni come Safe Finder contyribuiscono a far finire lo stereotipo dei Mac senza malware.
Infatti, gli hijacker del browser e le minacce pubblicitarie rappresentano, di gran lunga, la categoria prevalente di software offensivo che colpisce OS X.

L’impatto di tali attacchi normalmente non va oltre la navigazione su Internet, ma la portata limitata dell’influenza negativa non rende questi eventi meno spiacevoli di altre violazioni di più ampia portata.
Questa app dirotta le preferenze di Safari, Chrome e Firefox della sua vittima verso search.safefinder.com o search.macsafefinder.com, che sono siti spazzatura come anche search.safefinder.biz, search.safefinder.info e search.safefinderformac.com.
Questo significa che la pagina non richiesta apparirà al posto della homepage personalizzata, del motore di ricerca preferito e quando si apre una nuova scheda.
Inoltre lo stesso effetto può verificarsi quando l’utente inserisce semplicemente l’URL di un sito nella barra degli indirizzi. Questo indica che il meccanismo di redirect altera anche le impostazioni DNS sulle macchine infette che eseguono macOS.

safe-finder-mac

Safe Finder non è quello che vuole sembrare


Ufficialmente, Safe Finder è pubblicizzato come “lo strumento perfetto per semplificare il web”. È sviluppato da Linkury Ltd., una società israeliana famigerata per la creazione e la distribuzione di browser hijacker per Mac e pulitori disonesti su una scala sbalorditiva. Questo venditore furbetto utilizza bundle di app come fonte principale per le installazioni indesiderate, meccanismo che abbiamo già denunciato più volte e in cui ancora tanti utenti cascano troppo facilmente.

Il servizio dovrebbe aggiungere un widget non intrusivo chiamato “Safe Finder toolbar” al proprio browser preferito che contiene icone per una serie di funzioni utili, tra cui la traduzione del sito web in una lingua di scelta, la condivisione rapida sui social network popolari e le valutazioni di sicurezza delle pagine web che l’utente sta per visitare.

Queste dichiarazioni però, diventano nulle quando l’app fa sì che i browser web sfuggano completamente di mano. La vittima alla fine troverà difficile visitare qualsiasi sito web diverso da search.safefinder.com o search.macsafefinder.com. L’autorizzazione ad apportare modifiche alle impostazioni del browser su un Mac contaminato è la pietra miliare che i produttori di adware tendono a saltare, quindi le conseguenze di questa violazione sono di solito una sorpresa per gli utenti presi di mira.

Crea il caos tra le preferenze di ricerca

Nel febbraio 2020, la campagna Safe Finder ha aggiunto un’altra tecnica famigerata al mix. Le vittime si trovano intrappolate in un dilemma di misconfigurazione del browser.
Il codice maligno può sostituire il provider di ricerca web predefinito con un URL la cui struttura si adatta al seguente modello: search8952443-a.akamaihd.net. Il frammento che precede il trattino varia e può essere qualcosa come “default[cifre casuali]” o “lkysearchds[cifre casuali]”. Questo abile tweak che coinvolge il gigante dei servizi cloud e di distribuzione dei contenuti Akamai è, ovviamente, destinato a mantenere l’attività adware a galla e ad aiutare l’infrastruttura dannosa a sopravvivere a tutte le forme di blacklisting.

Quando la vittima inserisce le parole chiave nella casella di ricerca del servizio sospetto, viene inoltrata ai risultati di ricerca personalizzati di Yahoo. Il coinvolgimento di provider legittimi è una cosa comune per gli schemi di ridistribuzione del traffico nell’ecosistema del malware per Mac. In questo modo, i truffatori fanno sembrare l’attacco una modifica non dannosa delle attività di navigazione sul web. Inoltre, l’obiettivo dietro l’inserimento di Yahoo in questo stratagemma elettronico è quello di creare un’illusione come se la pagina di destinazione di Safe Finder avesse alcune caratteristiche di ricerca web autentiche. In realtà non ospita alcuna funzionalità di questo tipo, però, e semplicemente incorpora contenuti sponsorizzati di terze parti nei risultati pertinenti restituiti da un altro motore.

Una campagna di distribuzione massiccia: come evitarla

Il modo in cui Safe Finder si fa strada in un Mac è tutta un’altra storia.
Piuttosto che studiare le sue caratteristiche “uniche” e installarlo consapevolmente, la gente lo lascia installare come d’altronde altri software come Advanced Mac Cleaner, ma di solito è un processo surrettizio che rende difficile per gli utenti identificare la minaccia e impedirle di entrare.

La fregatura che sta dietro il setup di software freeware popolari, spinge molti utenti a procedere senza prestare attenzione alle insidie che non sono in bella vista.


L’unico modo per evitare l’attacco è quello di deselezionare gli elementi extra che accompagnano l’applicazione principale, scegliendo quindi il setup personalizzato di installazione piuttosto che attenersi all’opzione predefinita (express).

La campagna di falso aggiornamento di Adobe Flash Player è uno dei capisaldi di lunga data della distribuzione di Safe Finder.
Gli autori di adware sono impegnati a spremere il massimo dalle loro bufale online facilmente disponibili che ruotano intorno a questo prodotto controverso.
Lo schema è banale: l’ingannevole programma di aggiornamento propagandato su pagine web compromesse o maligne contiene il payload di Safe Finder nello stesso bundle.

Il tipo di minaccia

L’incursione di Safe Finder può anche essere un doppio problema a causa della contemporanea infestazione del Mac con un’app che inietta pubblicità come SystemNotes. L’adware co-promosso rappresenta una nicchia di applicazioni potenzialmente indesiderate (PUA) che condividono un segno distintivo facile da identificare – l’icona verde o bluastra con un simbolo di lente di ingrandimento all’interno come Mainready.
La famiglia di adware è in costante espansione con nuovi campioni e un enorme numero di rilasci a settimana, quindi il contagio è sempre fluido ed è problematico individuare il nome esatto dell’app che crea problemi in qualsiasi momento.

Una delle cose più inquietanti riguardo a queste minacce è che hanno una gamma di privilegi sproporzionatamente vasta rispetto alle normali estensioni del browser.
Per esempio, possono leggere dati sensibili dalle pagine web, inclusi numeri di telefono, dettagli di autenticazione e informazioni sulla carta di credito.
Oltre a questo, viene raccolta anche l’intera cronologia di navigazione della vittima.
La simbiosi di un hijacker del browser “classico” e di un adware significa che i criminali informatici dietro questa ondata non sono estranei alla monetizzazione degli attacchi su più fronti.

Nuove tattiche stanno trasformando il malware

Mentre questa campagna si evolve, gli hacker stanno aggiungendo nuovi schemi di reindirizzamento e hanno iniziato a utilizzare URL variabili che sostituiscono l’impostazione predefinita della ricerca web in un browser infestato dal malware.
Alcuni esempi di questi domini sono search.majorinputs.com, search.practicalsprint.com, search.windowtask.com, search.validplatform.com, search.handlersection.com, search.adjustablesample.com e search.adjustablesample.com, e tutti portano a una landing page ospitata da Yahoo con Safe Finder.

Per individuarlo con certezza ed eliminarlo leggi la nostra guida sugli Adware.

Prova l’antivirus e anti adware progettato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.