Onderzoekers hebben adware voor macOS ontdekt die de startpagina van Chrome en Safari via een configuratieprofiel kaapt. Een techniek die nog niet eerder is gezien, aldus onderzoeker Thomas Reed van Malwarebytes. De adware in kwestie wordt "Crossrider" genoemd en doet zich voor als Flash Player.

Tijdens de installatie installeert de adware een versie van Advanced Mac Cleaner. Een potentieel ongewenst programma dat beweert dat er allerlei problemen met de computer zijn. Voor het verhelpen van de niet bestaande problemen moet een licentie worden aangeschaft. Daarnaast laat Crossrider de startpagina van Chrome en Safari naar een adware-domein wijzen. Dit is allemaal vrij standaard voor Mac-adware.

Reed ontdekte dat hij na het verwijderen van Advanced Mac Cleaner en de onderdelen van de Crossrider-adware de startpagina van Chrome en Safari niet kon terugzetten. Voor het kapen van de startpagina maakt de adware een configuratieprofiel aan. Dergelijke profielen zijn eigenlijk bedoeld voor systeembeheerders die hun Macs willen beheren. Zo is het via de profielen mogelijk om de Mac bepaalde dingen te laten doen, waarvan sommige anders niet mogelijk zijn.

In het geval van Crossrider zorgt het configuratieprofiel ervoor dat Chrome en Safari altijd een malafide zoekpagina openen en gebruikers dit niet via de browserinstellingen kunnen veranderen. Het is echter mogelijk om het profiel te verwijderen en zo de startpagina weer te herstellen. Afsluitend stelt Reed dat het gebruik van zogenaamde Flash Player-installaties niets nieuws is, maar mensen er nog steeds voor vallen. "Flash is een stervende technologie en een continue bron van kwetsbaarheden. Weinig sites vereisen Flash. Als je het toch nodig hebt, download het dan alleen bij Adobe", aldus de onderzoeker.