Trojan Shlayer gnębi użytkowników macOS

Przeczytaj także: Mokes atakuje urządzenia Apple

Jak wynika z opublikowanego komunikatu, w minionym roku ofiarą ataków trojana Shlayer padło co najmniej 10% urządzeń, które wykorzystywały przeznaczone dla Maców rozwiązania bezpieczeństwa firmy Kaspersky. Tym samym omawiane zagrożenie okazało się najpopularniejszym szkodnikiem ubiegłych 12 miesięcy. Specyfika działania Shlayera sprowadza się do instalacji oprogramowania adware (w tym m.in. AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit oraz AdWare.OSX.Cimpli), odpowiedzialnego za wyświetlanie niechcianych reklam, przechwytywanie zapytań wpisywanych do wyszukiwarki oraz modyfikację rezultatów wyszukiwania tak, aby możliwe stało się rozprzestrzenienie jak największej ilości niepożądanych zasobów.

Z obserwacji przeprowadzonych przez ekspertów firmy Kaspersky wynika, że proces infekcji zazwyczaj składa się z dwóch faz – najpierw użytkownik instaluje oprogramowanie Shlayer, a następnie szkodnik ten instaluje wybrany rodzaj narzędzia adware. Jednak do samej infekcji urządzenia dochodzi wtedy, gdy użytkownik nieświadomie pobiera na nie szkodliwy program. W tym celu stworzono system rozprzestrzeniania narzędzi cyberprzestępczych z licznymi kanałami, za pośrednictwem których użytkownicy pobierają szkodnika.

Shlayer wykorzystywany jest jako sposób zarabiania pieniędzy na stronach internetowych w wielu przestępczych programach partnerskich, a stosunkowo wysokie wynagrodzenie za każde zainstalowanie szkodliwego oprogramowania przez użytkowników ze Stanów Zjednoczonych spowodowało, że istnieje ponad tysiąc „stron partnerskich” rozprzestrzeniających Shlayera. Mechanizm ten działa następująco: gdy użytkownik szuka np. odcinka serialu telewizyjnego lub meczu piłki nożnej, wyświetlane reklamy przekierowują go na fałszywe strony aktualizacji Flash Playera. Tam ofiara bezwiednie pobiera szkodliwe oprogramowanie. Za każdą taką instalację „partner”, który rozprzestrzenił odsyłacze do szkodliwego oprogramowania, otrzymuje wynagrodzenie w modelu „pay-per-install”.

Inne metody polegają na przekierowywaniu użytkowników na fałszywą stronę aktualizacji Adobe Flasha z różnych dużych zasobów online posiadających wielomilionową grupę odbiorców, łącznie z serwisem YouTube, w których odsyłacze do szkodliwych stron internetowych zostały umieszczone w opisach filmów. Ponadto badacze z firmy Kaspersky wykryli liczne odsyłacze prowadzące do ponad 700 domen ze szkodliwym kodem w przypisach do artykułów w Wikipedii. Użytkownicy, którzy kliknęli te odsyłacze, byli przekierowywani na strony pobierania szkodliwego oprogramowania Shlayer.

Niemal wszystkie strony internetowe prowadzące do fałszywego programu Flash Player zawierały treści w języku angielskim. Odzwierciedla to czołówkę państw pod względem odsetka użytkowników zaatakowanych przez to zagrożenie – Stany Zjednoczone (31%), Niemcy (14%), Francja (10%) oraz Wielka Brytania (10%).

Platforma macOS stanowi dobre źródło przychodów dla cyberprzestępców, którzy nieustannie szukają nowych sposobów oszukiwania użytkowników oraz aktywnie wykorzystują socjotechnikę w celu rozprzestrzeniania szkodliwego oprogramowania. Opisywany przypadek pokazuje, że tego rodzaju zagrożenia można znaleźć nawet na legalnych stronach. Na szczęście dla użytkowników macOS najbardziej rozpowszechnione zagrożenia, których celem jest ten system, koncentrują się na wyświetlaniu niechcianych reklam zamiast na czymś groźniejszym, jak np. kradzież danych finansowych - mówi Anton Iwanow, analityk ds. cyberbezpieczeństwa z firmy Kaspersky.