Programul malware utilizează mii de site-uri web partenere pentru a răspândi coduri de publicitate.

Troianul focalizat pe publicitate, cunoscut sub numele de Shlayer, s-a instalat în topul programelor malware când vine vorba de vizarea utilizatorilor Mac. Acesta a constituit 29% din toate atacurile asupra dispozitivelor macOS din telemetria lui Kaspersky pentru anul 2019, ceea ce a făcut-o amenințarea malware nr. 1 pentru anul respectiv. Pentru a se răspândi, a făcut ca vizitatorii site-urilor web cu milioane de vizitatori, în special YouTube și Wikipedia, să facă clic pe link-uri dăunătoare.

Shlayer este un descărcător de troieni, care se răspândește prin aplicații false care ascund codul său rău intenționat, potrivit Kaspersky. Scopul său principal este să aducă și să instaleze diferite variante de adware. Aceste probe din a doua etapă bombardează utilizatorii cu reclame și, de asemenea, intercepteaza căutările în browser pentru a modifica rezultatele căutării pentru a promova încă mai multe reclame.

Astfel, poate nu este surprinzător faptul că, din cele mai bune 10 amenințări macOS detaliate de Kaspersky pentru anul, majoritatea au fost adware pe care Shlayer le instalează – și anume, AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit și AdWare.OSX.Cimpli.

Procesul de infecție

Shlayer ajunge în general pe desktopurile utilizatorilor printr-o descărcare rău intenționată. Infractorii cibernetici din spatele codului au creat un sistem de distribuție elaborat, cu o serie de canale care conduc utilizatorii să descarce malware.

„Shlayer se răspândește printr-o rețea parteneră de mii de site-uri web, adesea vizând vizitatori de site-uri legitime, inclusiv YouTube și Wikipedia”, a explicat Kaspersky într-o analiză a codului. „YouTube, unde linkurile către site-ul web rău intenționat au fost incluse în descrierile video și Wikipedia, unde astfel de legături erau ascunse în referințele articolelor.”

Dedesupturi

În general, Shlayer este găzduit pentru descărcare pe 700 de domenii diferite, către care linkurile redirecționează vizitatorii. Cea mai recentă variantă Shlayer este Trojan-Downloader.OSX.Shlayer.e, a dezvăluit analiza Kaspersky, care se distinge pentru că este scrisă în Python și nu în Bash, așa cum au fost versiunile anterioare .

Adware pentru etapa a doua

Shlayer pur și simplu pătrunde în sistemul victimei, încarcă sarcina utilă principală și o execută. După aceea, adware-ul din a doua etapă preia; în campaniile recente, Kaspersky a observat Shlayer descărcând activ familia AdWare.OSX.Cimpli.

Cimpli se maschează ca un utilitar Mac util (de exemplu, „Orice căutare”) – dar în realitate instalează o extensie dăunătoare în Safari, ascunzând notificarea de securitate a sistemului de operare în spatele unei ferestre false.

„Făcând clic pe butoanele din notificare, utilizatorul este de acord să instaleze extensia”, potrivit cercetătorilor.

Extensia se numește ManagementMark, care monitorizează căutările online ale victimei și le redirecționează injectând un script în paginile browserului. Eșantionul încarcă, de asemenea, instrumentul mitmdump, căruia i se dă permisiunea de a vizualiza traficul HTTPS printr-un certificat special de încredere pe care malware-ul îl adaugă sistemului (de asemenea, se suprapune o fereastră falsă peste caseta de confirmare a instalării). Tot traficul care trece prin mitmdump este apoi procesat de un script care redirecționează toate întrebările de căutare ale utilizatorilor către un proxy SOCKS5.

Din fericire pentru utilizatorii de macOS, aceste campanii vizează toate alimentarea publicității ilicite victimelor, mai degrabă decât ceva mai periculos, cum ar fi furtul de date financiare. Cu toate acestea, cibercriminalii din spatele lui Shlayer ar putea evolua  în orice moment, potrivit Kaspersky.

Cea mai buna soluție pentru a deveni invulnerabili la astfel de atacuri este instalarea suitei Kaspersky Internet Security care conține și varianta pentru macOS de la www.vanzarisoft.ro