La notizia l’hanno data per primi quelli di Doctor Web, già noti ai lettori di Melablog per via di FlashBack, che scrivono:
Quando viene avviato, Trojan.Yontoo.1 mostra una finestra di dialogo che chiede all’utente se desidera installare Free Twit Tube. Tuttavia, dopo che l’utente clicca su “Continua,” in luogo del programma promesso il Trojan scarica da Internet e installa un plugin Yontoo per Safari, Chrome e Firefox. Questi browser sono tra i più popolari su OS X. Mentre l’utente naviga, il plugin trasmette le informazioni sulle pagine caricate ad un server remoto; in cambio, ottiene la capacità di iniettare codice di terze parti nelle pagine visitate dagli utenti.
Lo screenshot che vedete qui sopra mostra come apparirebbe la home page del sito Apple se aveste inavvertitamente installato il plugin: proprio nel bel mezzo dei contenuti trovereste spot non autorizzati che rimandano a negozi online di dubbia provenienza.
A differenza del temibile Flashback, che si avviava all’insaputa dell’utente a causa delle falle presenti in Java, questa volta si tratta del solito programmino che per richiede non soltanto di essere prima scaricato, ma anche installato con tanto di password d’amministratore. In pratica, gli utenti non avranno probabilmente neppure il tempo di cadere nella trappola, perché per allora Cupertino avrà già aggiornato le definizioni malware dei suoi più recenti OS.
Occhio a quel che installate, insomma, ma niente panico. Per l’antivirus su Mac è ancora presto.