Οι δημιουργοί του περιβόητου Youndoo adware σκέφτηκαν ένα νέο trick που έχει σκοπό να εξασφαλίσει ότι ο ενοχλητικός browser hijacker τους θα είναι πιο δύσκολο να ανιχνευθεί και μετά, θα συνεχίσει να εμφανίζεται ξανά και ξανά.
Οι πιο πρόσφατες εκδόσεις αυτού του adware είναι πλέον σε θέση να πραγματοποιήσουν hijacking στους Chrome browsers, δημιουργώντας ένα κρυφό Chrome προφίλ χρήστη.
Τα Chrome προφίλ χρηστών είναι ένα σύνολο από συγκεκριμένες ρυθμίσεις του browser που σχετίζονται με έναν Google λογαριασμό. Η Malwarebytes, που εντόπισε αυτήν την έκδοση, λέει ότι το Youndoo adware δημιουργεί ένα αντίγραφο του προφίλ του τρέχοντος χρήστη και το ενεργοποιεί αντί του αρχικού.
Το adware αντιγράφει το ιστορικό του browser του χρήστη και τις ρυθμίσεις, εκτός από αυτές της αρχικής σελίδας και της προεπιλεγμένης μηχανής αναζήτησης του χρήστη. Για τα δύο τελευταία, χρησιμοποιεί τη Youndoo μηχανή αναζήτησης, από την οποία το adware παίρνει και το όνομά του.
Ο σκοπός της υποκλοπής του browser URL της αρχικής σελίδας του χρήστη και της προεπιλεγμένης μηχανής αναζήτησης είναι να οδηγηθεί η κίνηση στην ιστοσελίδα της Youndoo, ώστε να υπάρξουν έσοδα για τους διαχειριστές της.
Αυτή δεν είναι η πρώτη φορά που ένα adware χρησιμοποιεί επιπλέον προφίλ για να επισκιάσει τους browsers. Οι οικογένειες adware, που ονομάζονται HohoSearch και GsearchFinder, πραγματοποιούν hijack στους Firefox browsers χρησιμοποιώντας, επίσης, ένα κρυφό προφίλ.
Αλλά τα ψεύτικα προφίλ είναι μόνο ένα από τα πολλά εργαλεία που υπάρχουν στη διάθεση αυτών των απατεώνων. Άλλα κόλπα που χρησιμοποιούνται από το browser-hijacking adware περιλαμβάνουν αλλαγμένες συντομεύσεις του browser, κρυφές υπηρεσίες, καθώς και προγραμματισμένες εργασίες.
Επομένως, σε περίπτωση που οι χρήστες παρατηρήσουν ότι το Chrome προφίλ τους έχει καταληφθεί από τον browser τους και το διαγράψουν, θα το βρουν στη θέση του μερικές ώρες ή ημέρες αργότερα.
Ο Pieter Arntz της Malwarebytes λέει ότι αυτό συμβαίνει εξαιτίας ενός κρυφού Scheduled Task, το οποίο δημιούργησε η Youndoo όταν μόλυνε το χρήστη για πρώτη φορά. Η μόλυνση συνήθως λαμβάνει χώρα μέσω bundled installers που μεταφέρουν PUPs.
Τα καλά νέα είναι ότι, λόγω “της επιτυχίας και της δημοτικότητας” της Youndoo, τα περισσότερα anti-malware και malware εργαλεία απομάκρυνσης είναι σε θέση να καταργήσουν την εγκατάσταση αυτής της απειλής. Παρακάτω μπορείτε να δείτε πώς δείχνει ένας hijacked Chrome browser όταν ο υπολογιστής του χρήστη έχει μολυνθεί με το Youndoo:
