Shlayer: trojan dla systemu macOS rozprzestrzeniany przez tysiące stron internetowych
W 2019 roku przynajmniej 1 na 10 urządzeń wykorzystujących rozwiązanie firmy Kaspersky przeznaczone dla Maców stanowiło cel ataku trojana Shlayer – który tym samym stanowił najczęstsze zagrożenie dla użytkowników systemu macOS. Szkodnik ten rozprzestrzenia się za pośrednictwem przestępczej sieci partnerskiej, rozrywkowych stron internetowych, a nawet serwisu Wikipedia, co pokazuje, że użytkownicy odwiedzający wyłącznie legalne i zaufane strony także potrzebują dodatkowej ochrony online.
Mimo że system macOS tradycyjnie postrzegany jest jako bezpieczniejszy, istnieją cyberprzestępcy, którzy próbują wzbogacić się kosztem jego użytkowników. Ze statystyk firmy Kaspersky wynika, że dobrym przykładem potwierdzającym tę tezę jest Shlayer – najbardziej rozpowszechnione zagrożenie dla systemu macOS w 2019 roku. Szkodnik ten specjalizuje się w instalowaniu adware, czyli programów, które uprzykrzają życie użytkownikom poprzez wyświetlanie niechcianych reklam, przechwytywanie i gromadzenie zapytań wpisywanych w wyszukiwarki oraz modyfikowanie wyników wyszukiwania w celu rozprzestrzeniania jeszcze większej liczby niechcianych zasobów.
Szkodnik Shlayer odpowiadał za niemal jedną trzecią (29,28%) wszystkich ataków na urządzenia z systemem macOS zarejestrowanych przez produkty firmy Kaspersky w okresie od stycznia do listopada 2019 r., przy czym niemal wszystkie z pozostałych 10 najczęstszych zagrożeń dla systemu macOS stanowiły instalowane przez niego programy adware, m.in.: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit oraz AdWare.OSX.Cimpli. Shlayer jest w dalszym ciągu aktywny i stanowi istotne zagrożenie.
Proces infekcji zazwyczaj składa się z dwóch faz – najpierw użytkownik instaluje oprogramowanie Shlayer, a następnie szkodnik ten instaluje wybrany rodzaj narzędzia adware. Jednak do samej infekcji urządzenia dochodzi wtedy, gdy użytkownik nieświadomie pobiera na nie szkodliwy program. W tym celu stworzono system rozprzestrzeniania narzędzi cyberprzestępczych z licznymi kanałami, za pośrednictwem których użytkownicy pobierają szkodnika.
Shlayer wykorzystywany jest jako sposób zarabiania pieniędzy na stronach internetowych w wielu przestępczych programach partnerskich, a stosunkowo wysokie wynagrodzenie za każde zainstalowanie szkodliwego oprogramowania przez użytkowników ze Stanów Zjednoczonych spowodowało, że istnieje ponad tysiąc “stron partnerskich” rozprzestrzeniających Shlayera. Mechanizm ten działa następująco: gdy użytkownik szuka np. odcinka serialu telewizyjnego lub meczu piłki nożnej, wyświetlane reklamy przekierowują go na fałszywe strony aktualizacji Flash Playera. Tam ofiara bezwiednie pobiera szkodliwe oprogramowanie. Za każdą taką instalację “partner”, który rozprzestrzenił odsyłacze do szkodliwego oprogramowania, otrzymuje wynagrodzenie w modelu “pay-per-install”.
Inne metody polegają na przekierowywaniu użytkowników na fałszywą stronę aktualizacji Adobe Flasha z różnych dużych zasobów online posiadających wielomilionową grupę odbiorców, łącznie z serwisem YouTube, w których odsyłacze do szkodliwych stron internetowych zostały umieszczone w opisach filmów. Ponadto badacze z firmy Kaspersky wykryli liczne odsyłacze prowadzące do ponad 700 domen ze szkodliwym kodem w przypisach do artykułów w Wikipedii. Użytkownicy, którzy kliknęli te odsyłacze, byli przekierowywani na strony pobierania szkodliwego oprogramowania Shlayer.
Niemal wszystkie strony internetowe prowadzące do fałszywego programu Flash Player zawierały treści w języku angielskim. Odzwierciedla to czołówkę państw pod względem odsetka użytkowników zaatakowanych przez to zagrożenie – Stany Zjednoczone (31%), Niemcy (14%), Francja (10%) oraz Wielka Brytania (10%).
Platforma macOS stanowi dobre źródło przychodów dla cyberprzestępców, którzy nieustannie szukają nowych sposobów oszukiwania użytkowników oraz aktywnie wykorzystują socjotechnikę w celu rozprzestrzeniania szkodliwego oprogramowania. Opisywany przypadek pokazuje, że tego rodzaju zagrożenia można znaleźć nawet na legalnych stronach. Na szczęście dla użytkowników macOS najbardziej rozpowszechnione zagrożenia, których celem jest ten system, koncentrują się na wyświetlaniu niechcianych reklam zamiast na czymś groźniejszym, jak np. kradzież danych finansowych. Dobre rozwiązanie bezpieczeństwa WWW może ochronić użytkowników przed podobnymi zagrożeniami, sprawiając, że przeglądanie zasobów internetu stanie się bezpiecznym i przyjemnym doświadczeniem – powiedział Anton Iwanow, analityk ds. cyberbezpieczeństwa z firmy Kaspersky.
Rozwiązania firmy Kaspersky wykrywają trojana Shlayer i powiązane z nim szkodliwe narzędzia jako:
- HEUR:Trojan-Downloader.OSX.Shlayer.*
- not-a-virus:HEUR:AdWare.OSX.Cimpli.*
- not-a-virus:AdWare.Script.SearchExt.*
- not-a-virus:AdWare.Python.CimpliAds.*
- not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Szczegóły techniczne dotyczące omawianego trojana są dostępne na stronie https://r.kaspersky.pl/ch47T.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zmniejszyć ryzyko infekcji trojanami takimi jak Shlayer:
- Instaluj programy i aktualizacje wyłącznie z zaufanych źródeł.
- Poszukaj informacji na temat stron rozrywkowych, które planujesz odwiedzić: sprawdź ich reputację w internecie.
- Korzystaj z niezawodnego rozwiązania zabezpieczającego, takiego jak Kaspersky Internet Security for Mac, które zapewnia zaawansowaną ochronę na komputerach Mac.