Mii de site-uri, printre care Wikipedia si YouTube, distribuie malware pentru macOS
0Cu un sistem inteligent de distribuţie, malware-ul se răspândeşte printr-o reţea parteneră, prin intermediul site-urilor de divertisment şi chiar prin Wikipedia
În ciuda faptului că macOS este considerat în mod tradiţional un sistem mult mai sigur, există încă atacatori cibernetici care îşi încearcă norocul, păcălind utilizatorii. Pe baza statisticilor Kaspersky, Shlayer - cea mai răspândită ameninţare macOS în 2019 - este un bun exemplu în acest sens.
Shlayer este specializată în instalarea de adware - programe care deranjează utilizatorii prin furnizarea de reclame ilicite, interceptând şi colectând interogările browser-ului utilizatorului şi modificând rezultatele căutărilor pentru a distribui şi mai multe mesaje publicitare.
Ponderea Shlayer dintre toate atacurile asupra dispozitivelor macOS înregistrate de produsele Kaspersky în perioada ianuarie - noiembrie 2019 s-a ridicat la aproximativ o treime (29,8%). Mai mult, încă de la prima detectare a malware-ului, algoritmul acestuia de infectare nu s-a schimbat foarte mult, chiar dacă activitatea sa a scăzut foarte puţin, ceea ce îl face o ameninţare deosebit de relevantă faţă de care utilizatorii au nevoie de protecţie.
Cum funcţionează Shlayer
Procesul de infectare constă adesea din două faze – mai întâi, utilizatorul instalează Shlayer, apoi programul malware instalează un anumit tip de adware. Infecţia dispozitivului începe, însă, cu un utilizator neavizat care descarcă programul. Pentru a obţine cât mai multe instalări, atacatorul din spatele Shlayer a creat un sistem de distribuţie ce foloseşte o serie de canale care îi conduc pe utilizatori să descarce acest malware.
Pagină Wikipedia cu link-uri rău intenţionate în descriere.
Shlayer este oferit ca modalitate de a monetiza site-urile web într-o serie de programe de fişiere partenere, cu o sumă relativ mare plătită pentru fiecare instalare de malware făcută de utilizatorii americani, ceea ce a determinat ca peste 1000 de „site-uri partenere” să distribuie Shlayer.
Această schemă funcţionează după cum urmează: un utilizator caută un episod dintr-un serial TV sau un meci de fotbal, iar landing page-urile publicitare îl redirecţionează către pagini false de actualizare Flash Player. De aici victima descarcă malware-ul. Pentru fiecare astfel de instalare, partenerul care a distribuit link-uri către malware primeşte o sumă de bani.
Alte scheme duc la o pagină falsă de actualizare Adobe Flash ce redirecţionează utilizatorii de la diverse servicii online mari, cu audienţe de milioane de utilizatori, printre care Youtube, unde link-urile către site-ul web rău intenţionat au fost incluse în descrierile video, şi Wikipedia, unde astfel de link-uri au fost ascunse în trimiterile din articole. Utilizatorii care dădeau click pe aceste link-uri erau redirecţionaţi către landing page-urile de descărcare a Shlayer. Cercetătorii Kaspersky au descoperit 700 de domenii cu un conţinut periculos, link-uri către ele fiind plasate pe o varietate de site-uri legitime.