Onderzoekers hebben Mac-malware ontdekt die advertenties in versleuteld webverkeer injecteert. SearchAwesome, zoals de malware wordt genoemd, wordt door andere malware geïnstalleerd. Deze malware wordt verspreid via een torrent die illegale software belooft.

De installatie van de malware is niet zichtbaar voor gebruikers, behalve dat die toestemming moet geven voor het aanpassen van de Certificate Trust Settings en netwerkconfiguratie, zo meldt anti-malwarebedrijf Malwarebytes. Daarnaast installeert de malware een eigen certificaat op het systeem zodat het verkeer dat via https is versleuteld kan onderscheppen.

Vervolgens wordt ook een opensourceprogramma genaamd mitmproxy geïnstalleerd. Deze software kan onder andere worden gebruikt om webverkeer te onderscheppen, inspecteren en aan te passen. Met het geïnstalleerde certificaat, dat van het mitmproxy-project is, kan de software dit bij al het webverkeer doen. De malware maakt hiervan gebruik om op elke webpagina JavaScript te injecteren dat advertenties laat zien. Het script kan in theorie echter ook worden gebruikt voor cryptomining en het stelen van wachtwoorden.

Opmerkelijk is dat de malware van een uninstaller is voorzien waarmee het zichzelf kan verwijderen. De mitmproxy-software en het geïnstalleerde certificaat blijven hierbij achter, waardoor gebruikers nog steeds risico kunnen lopen, zegt onderzoeker Thomas Reed. Malwarebytes meldt dat het de malware kan detecteren en verwijderen. Het laat de mitmproxy-software echter ongemoeid, aangezien dit een legitieme tool is. Getroffen gebruikers zullen dan ook zelf het toegevoegde certificaat uit hun keychain moeten verwijderen.