Több ezer weboldal terjeszt macOS-t támadó vírust

Bár a macOS-t hagyományosan sokkal biztonságosabb rendszernek tartják, mégis vannak olyan kiberbűnözők, akik a macOS-használókból próbálnak meg profitálni. Jó példa erre a 2019-es évben a legelterjedtebb macOS-fenyegegést jelentő Shlayer a Kaspersky statisztikái szerint. A vírus jellegzetessége, hogy reklámszoftvereket (adware-t) telepít fel, amelyek azzal terrorizálják a felhasználókat, hogy illegális reklámokat jelenítenek meg, elfogják és begyűjtik a felhasználók böngészőkben tett keresési lekérdezéseit, és a keresési találatok módosításával még több reklámüzenetet terjesztenek.

A Shlayer általi támadások csaknem az egyharmadát (29,28%-át) tették ki a macOS rendszert használó eszközöket érő, a Kaspersky-termékek által a 2019. január és november közötti időszakban regisztrált összes támadásnak, ráadásul a többi 10 toplistás macOS-fenyegetés csaknem mindegyike is olyan reklámszoftver volt, amelyet a Shlayer telepít: AdWare.OSX. Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit and AdWare.OSX.Cimpli. Mindemellett a Shlayer fertőzési algoritmusa az első észlelése óta alig változott, annak ellenére, hogy az aktivitása alig csökkent, ezért különösen nagy fenyegetést jelent, amely ellen a felhasználók védelmet igényelnek.

A 10 leggyakoribb macOS-fenyegetés a Kaspersky macOS-hoz fejlesztett termékeit használó megtámadott felhasználók százalékos arányában mérve, 2019. január-november

A fertőzési folyamat gyakorta két fázisból áll: a felhasználó először feltelepíti a Shlayert, aztán a malware feltelepít egy kiválasztott reklámszoftver-típust. Az eszköz megfertőzése azonban azzal kezdődik, hogy a mit sem sejtő felhasználó letölti a rosszindulatú programot. Ahhoz, hogy megtörténjenek a telepítések, a Shlayer mögött álló támadó létrehoz egy malware-terjesztő rendszert, amelyben több csatorna is a malware letöltése felé irányítja a felhasználókat.

A Shlayer számos fájlmegosztó partnerprogramban is megjelenik, mint pénzkereseti lehetőség: az amerikai felhasználók által végzett minden egyes malware-telepítésért meglehetősen nagy összeg jár, így már több mint 1000 "partneroldal" terjeszti a Shlayert. A módszer a következő: a felhasználó egy tévésorozat-epizódot vagy egy focimeccset keres, és a hirdetési nyitóoldalak hamis Flash Player-frissítési oldalakra irányítják át. Innen aztán az áldozat letölti a malware-t. Az a partner, aki a malware-re mutató linkeket terjesztette, minden egyes ilyen telepítés után meghatározott összegű pénzt kap.

Más módszerek is léteznek a felhasználók hamis Adobe Flash-frissítési oldalakra való eljuttatására. Ilyen például a felhasználók átirányítása a különféle nagy, többmilliós közönséget vonzó online szolgáltatásokból, például a YouTube-ról, ahol a videók leírásaiban, illetve a Wikipédiáról, aholy a szócikkek hivatkozásaiban helyezik el a rosszindulatú weboldalakra mutató linkeket. Az ezekre a linkekre rákattintó felhasználókat is a Shlayer-letöltő nyitóoldalakra irányítják át. A Kaspersky kutatói  700 rosszindulatú tartalmú oldat találtak, amelyekre különböző legális oldalakról lehetett átjutni.

 

A hamis Flash Player oldalra vivő szinte minden weboldal angol nyelvű tartalmat tartalmazott. Ez megfelel azoknak az országoknak, ahol a legtöbb felhasználót érintette a fenyegetés: USA (31%), Németország (14%), Franciaország (10%) és Egyesült Királyság (10%).

"A macOS platform remek bevételi forrást jelent a kiberbűnözők számára, akik folyamatosan új módszereket keresnek a felhasználók megtévesztésére, és aktívan alkalmazzák a pszichológiai manipulációs technikákat a rosszindulatú programjaik terjesztéséhez. Ez az eset is azt bizonyítja, hogy még a legális weboldalak sem mentesek az ilyen jellegű fenyegetésektől. A macOS-használók szerencséjére azonban a macOS-t célba vevő legelterjedtebb fenyegetések jelenleg leginkább az illegális reklámok megjelenítésére koncentrálódnak, nem pedig valami még veszélyesebb dologra, például a pénzügyi adatok ellopására. Egy hatékony webes biztonsági megoldás védelmet tud nyújtani a felhasználóknak az ilyen fenyegetések ellen, elősegítve, hogy a webes böngészés biztonságos és kellemes élménnyé váljon" - jelentette ki Anton Ivanov, a Kaspersky biztonsági elemzője.

A Kaspersky megoldásai az alábbi verdiktekkel észlelik a Shlayert és annak artifaktjait:

HEUR:Trojan-Downloader.OSX.Shlayer.*

not-a-virus:HEUR:AdWare.OSX.Cimpli.*

not-a-virus:AdWare.Script.SearchExt.*

not-a-virus:AdWare.Python.CimpliAds.*

not-a-virus:HEUR:AdWare.Script.MacGenerator.gen

 

Az említett trójai családhoz köthető oldalak, artifaktok és linkek, valamint a megállapítások további részletei itt találhatók.

 

A trójai vírusok, mint például a Shlayer okozta fertőzés kockázatának csökkentésére a Kaspersky a következőket javasolja:

·       Csak megbízható forrásokból telepítsen programokat és frissítéseket.

• Szerezzen bővebb információt a meglátogatni kívánt szórakoztató weboldalról: keressen rá a neten, hogy milyen hírnévnek örvend, és próbáljon meg rá vonatkozó véleményeket találni.
• Használjon megbízható biztonsági megoldást, például a Kaspersky Security Cloud szoftvert, amely fejlett védelemmel látja el a Mac gépeket, a személyi számítógépeket és a mobil eszközöket egyaránt.

A Kasperskyről
A Kaspersky egy 1997-ben alapított globális kiberbiztonsági vállalat. A Kaspersky internetes fenyegetésekkel kapcsolatos tudását és biztonsági szakértelmét folyamatosan innovatív biztonsági megoldások és szolgáltatások fejlesztésére használja, hogy védelmet kínáljon vállalkozások, a kritikus infrastruktúra, a kormányok és a fogyasztók számára világszerte. A vállalat széleskörű biztonsági portfóliójába vezető végpont védelmi és számos speciális biztonsági megoldás és szolgáltatás tartozik, az összetett és fejlődő digitális veszélyekkel elleni küzdelem érdekében. Több mint 400 millió felhasználót védenek a Kaspersky technológiái, valamint 270.000 vállalati ügyfélnek segítenek megóvni azt, ami a legfontosabb számukra. További információ: www.kaspersky.com