În 2019, Kaspersky a împiedicat atacurile efectuate de Shlayer, un malware dintr-o familie de troieni, care a încercat să infecteze cel puțin un dispozitiv din zece care folosesc Kaspersky Solutions for Mac, această amenințare fiind cea mai răspândită pentru utilizatorii de macOS. Cu un sistem inteligent de distribuție, malware-ul se răspândește printr-o rețea parteneră, prin intermediul site-urilor de divertisment și chiar prin Wikipedia, demonstrând că până și utilizatorii care vizitează doar site-uri legale au nevoie de protecție suplimentară online.
În ciuda faptului că macOS este considerat în mod tradițional un sistem mult mai sigur, există încă atacatori cibernetici care își încearcă norocul, păcălind utilizatorii. Pe baza statisticilor Kaspersky, Shlayer – cea mai răspândită amenințare macOS în 2019 – este un bun exemplu în acest sens. Este specializată în instalarea de adware – programe care deranjează utilizatorii prin furnizarea de reclame ilicite, interceptând și colectând interogările browser-ului utilizatorului și modificând rezultatele căutărilor pentru a distribui și mai multe mesaje publicitare.
Ponderea Shlayer dintre toate atacurile asupra dispozitivelor macOS înregistrate de produsele Kaspersky în perioada ianuarie – noiembrie 2019 s-a ridicat la aproximativ o treime (29,8%), aproape toate celelalte programe din top 10 amenințări pentru MacOS fiind adware-ul pe care Shlayer îl instalează: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit și AdWare.OSX.Cimpli. Mai mult, încă de la prima detectare a malware-ului, algoritmul acestuia de infectare nu s-a schimbat foarte mult, chiar dacă activitatea sa a scăzut foarte puțin, ceea ce îl face o amenințare deosebit de relevantă față de care utilizatorii au nevoie de protecție.
Verdict Ponderea utilizatorilor atacați
HEUR:Trojan-Downloader.OSX.Shlayer.a 29.28%
not-a-virus:HEUR:AdWare.OSX.Bnodlero.q 13.46%
not-a-virus:HEUR:AdWare.OSX.Spc.a 10.20%
not-a-virus:HEUR:AdWare.OSX.Pirrit.p 8.29%
not-a-virus:HEUR:AdWare.OSX.Pirrit.j 7.98%
not-a-virus:AdWare.OSX.Geonei.ap 7.54%
not-a-virus:HEUR:AdWare.OSX.Geonei.as 7.47%
not-a-virus:HEUR:AdWare.OSX.Bnodlero.t 6.49%
not-a-virus:HEUR:AdWare.OSX.Pirrit.o 6.32%
not-a-virus:HEUR:AdWare.OSX.Bnodlero.x 6.19%
Top 10 amenințări macOS pe baza cotei utilizatorilor atacați ce folosesc produse Kaspersky pentru macOS, ianuarie – noiembrie 2019
Procesul de infectare constă adesea din două faze – mai întâi, utilizatorul instalează Shlayer, apoi programul malware instalează un anumit tip de adware. Infecția dispozitivului începe, însă, cu un utilizator neavizat care descarcă programul. Pentru a obține cât mai multe instalări, atacatorul din spatele Shlayer a creat un sistem de distribuție ce folosește o serie de canale care îi conduc pe utilizatori să descarce acest malware.
Shlayer este oferit ca modalitate de a monetiza site-urile web într-o serie de programe de fișiere partenere, cu o sumă relativ mare plătită pentru fiecare instalare de malware făcută de utilizatorii americani, ceea ce a determinat ca peste 1000 de „site-uri partenere” să distribuie Shlayer.Această schemă funcționează după cum urmează: un utilizator caută un episod dintr-un serial TV sau un meci de fotbal, iar landing page-urile publicitare îl redirecționează către pagini false de actualizare Flash Player. De aici victima descarcă malware-ul. Pentru fiecare astfel de instalare, partenerul care a distribuit link-uri către malware primește o sumă de bani.
Alte scheme duc la o pagină falsă de actualizare Adobe Flash ce redirecționează utilizatorii de la diverse servicii online mari, cu audiențe de milioane de utilizatori, printre care Youtube, unde link-urile către site-ul web rău intenționat au fost incluse în descrierile video, și Wikipedia, unde astfel de link-uri au fost ascunse în trimiterile din articole. Utilizatorii care dădeau click pe aceste link-uri erau redirecționați către landing page-urile de descărcare a Shlayer. Cercetătorii Kaspersky au descoperit 700 de domenii cu un conținut periculos, link-uri către ele fiind plasate pe o varietate de site-uri legitime.
Aproape toate site-urile web care trimiteau către un Flash Player fals includeau conținut în engleză. Acest lucru corespunde cu țările cu cel mai mare număr de utilizatori afectați de amenințare – SUA (31%), Germania (14%), Franța (10%) și Marea Britanie (10%).
Distribuția victimelor Shlayer, în perioada februarie 2018 – octombrie 2019
„Platforma macOS este o sursă bună de venit pentru infractorii cibernetici, care caută mereu noi modalități de a înșela utilizatorii și folosesc tehnici de inginerie socială pentru a-și răspândi malware-ul”, spune Anton Ivanov, Kaspersky security analyst. „Acest caz demonstrează că astfel de amenințări pot fi găsite chiar și pe site-uri legitime. Din fericire pentru utilizatorii de macOS, amenințările cele mai răspândite care vizează macOS se bazează în prezent pe livrarea de publicitate ilicită, și nu pe ceva mai periculos, cum ar fi furtul de date financiare. O soluție bună de securitate web poate proteja, însă, utilizatorii de astfel de amenințări, făcând experiența căutării pe Internet sigură și plăcută.”
Soluțiile Kaspersky detectează Shlayer și artefactele sale.
Paginile, artefactele și link-urile pentru această familie de troieni, precum și alte detalii ale cercetării, pot fi găsite pe securelist.com.
Pentru a reduce riscul de infectare cu troieni precum Shlayer, Kaspersky recomandă:
· Instalați programe și actualizări numai din surse de încredere.
· Aflați mai multe informații despre site-ul de divertisment pe care intenționați să îl vizitați: verificați-i reputația pe Internet și încercați să găsiți feedback cu privire la acesta.
· Utilizați o soluție de securitate fiabilă, care oferă protecție avansată atât pe Mac, cât și pe PC și dispozitivele mobile.
