Kompanija Kaspersky je u 2019. godini sprečila napade trojanske porodice malvera Shlayer, bar jednom na svakom desetom uređaju koji koristi Kaspersky Solutions for Mac, što ovu pretnju čini najrasprostranjenijom za korisnike macOS-a. Pametni sistem distribucije malvera širi se partnerskom mrežom, veb-sajtovima za zabavu, pa čak i Vikipedijom, pokazujući da čak i korisnicima koji posećuju samo legalne veb-sajtove treba dodatna zaštita onlajn.
Uprkos tome što se macOS tradicionalno smatra mnogo sigurnijim i bezbednijim sistemom, još uvek postoje sajber kriminalci koji pokušavaju da profitiraju od korisnika macOS-a. Na osnovu statistike kompanije Kaspersky, dobar primer toga je Shlayer – najrasprostranjenija macOS pretnja u 2019. godini. Specijalizovana je za instaliranje advera – programa koji terorišu korisnike postavljanjem nedozvoljenih oglasa, presretanjem i prikupljanjem upita korisnika u pretraživaču i izmenom rezultata pretrage kako bi se distribuiralo još više reklamnih poruka.
Udeo malvera Shlayer u svim napadima na macOS uređaje koje su registrovali Kaspersky proizvodi u periodu od januara do novembra 2019. godine iznosilo je gotovo trećinu (29,28%), pri čemu je skoro svih ostalih top 10 macOS pretnji bio adver koji je instalirao Shlayer: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit i AdWare.OSX.Cimpli. Štaviše, otkad je Shlayer prvi put otkriven, njegov algoritam infekcije se skoro nije promenio, iako se njegova aktivnost nije smanjila, što ga čini posebno relevantnom pretnjom od koje je korisnicima potrebna zaštita.
Pretnja Udeo napadnutih korisnika
HEUR:Trojan-Downloader.OSX.Shlayer.a 29.28% not-a-virus:HEUR:AdWare.OSX.Bnodlero.q 13.46% not-a-virus:HEUR:AdWare.OSX.Spc.a 10.20% not-a-virus:HEUR:AdWare.OSX.Pirrit.p 8.29% not-a-virus:HEUR:AdWare.OSX.Pirrit.j 7.98% not-a-virus:AdWare.OSX.Geonei.ap 7.54% not-a-virus:HEUR:AdWare.OSX.Geonei.as 7.47% not-a-virus:HEUR:AdWare.OSX.Bnodlero.t 6.49% not-a-virus:HEUR:AdWare.OSX.Pirrit.o 6.32% not-a-virus:HEUR:AdWare.OSX.Bnodlero.x 6.19%
Top 10 macOS pretnji po udelu napadnutih korisnika Kaspersky proizvoda za macOS, januar – novembar 2019.
Proces infekcije često se sastoji od dve faze – prvo korisnik instalira Shlayer, a zatim malver instalira odabranu vrstu advera. Međutim, infekcija uređaja započinje kada nesvesni korisnik preuzme zlonamerni program. Kako bi postigao instalacije, akter pretnji koji stoji iza malvera Shlayer je postavio sistem distribucije malvera sa više kanala koji vode korisnike da preuzmu malver. Shlayer se nudi kao način unovčavanja veb-stranica u velikom broju file partnerskih programa, uz relativno veliku isplatu za svaku instalaciju malvera koju su napravili američki korisnici, zbog čega je preko 1.000 partnerskih sajtova distribuiralo Shlayer. Ova šema funkcioniše na sledeći način: korisnik traži epizodu TV serije ili fudbalsku utakmicu, a reklamiranje početnih stranica ih preusmerava na lažne stranice za ažuriranje Flash Player-a. Odavde bi žrtva preuzela malver. Za svaku takvu instalaciju, partner koji je distribuirao link do malvera dobija uplatu po instalaciji.
Ostale šeme vode do lažne stranice za ažuriranje Adobe Flash-a koja preusmerava korisnike sa različitih velikih onlajn servisa sa višemilionskom publikom, uključujući YouTube, gde su linkovi sa zlonamernom veb-stranicom bili uključeni u opise videa, i Vikipediju, gde su takvi linkovi sakriveni u referencama članaka. Korisnici koji su kliknuli na ove linkove su takođe bili preusmereni na stranice za preuzimanje malvera Shlayer. Istraživači kompanije Kaspersky pronašli su preko 700 domena sa zlonamernim sadržajem, do kojih vode brojni linkovi smešteni na različitim legitimnim veb-sajtovima.
YouTube video i stranica Vikipedije sa malicioznim linkovima u opisu Skoro sve veb-stranice koje vode do lažnog Flash Player-a imaju sadržaj na engleskom jeziku. To je u skladu sa glavnim zemljama u kojima su korisnici bili pogođeni – SAD (31%), Nemačka (14%), Francuska (10%) i Velika Britanija (10%).
Geografija žrtava malvera Shlayer, februar 2018. – oktobar 2019. „MacOS platforma je dobar izvor zarade za sajber kriminalce koji neprestano traže nove načine da prevare korisnike i aktivno koriste tehnike društvenog inženjeringa za širenje svog malvera. Ovaj slučaj pokazuje da takve pretnje mogu da se nađu čak i na legitimnim veb-sajtovima. Srećom za korisnike macOS-a, najrasprostranjenije pretnje koje ciljaju macOS su trenutno ilegalno oglašavanje, a ne nešto opasnije, poput krađe finansijskih podataka. Dobro bezbednosno rešenje za internet može da zaštiti korisnike od pretnji poput ovih, čineći iskustvo pretraživanja bezbednim i prijatnim“, kaže Anton Ivanov, bezbednosni analitičar u kompaniji Kaspersky.
Kaspersky rešenja otkrivaju Shlayer i njegove artefakte pod sledećim nazivima:
HEUR:Trojan-Downloader.OSX.Shlayer. not-a-virus:HEUR:AdWare.OSX.Cimpli. not-a-virus:AdWare.Script.SearchExt. not-a-virus:AdWare.Python.CimpliAds. not-a-virus:HEUR:AdWare.Script.MacGenerator.gen Stranice, artefakti i linkovi za ovu trojansku porodicu, kao i dodatni detalji nalaza mogu se naći na Securelist.com.
Kako biste umanjili rizik od infekcije trojancima kao što je Shlayer, stručnjaci kompanije
Kaspersky preporučuju:
• Instalirajte programe i ažuriranja samo iz pouzdanih izvora
• Saznajte više informacija o veb-sajtu za zabavu koji planirate da posetite: vidite kakav ugled ima na internetu i pokušajte da pronađete povratne informacije o njemu
• Koristite pouzdano bezbednosno rešenje, poput Kaspersky Security Cloud, koje pruža naprednu zaštitu na Mac računarima, kao i na PC i mobilnim uređajima