Stovky stránek šíří malware zaměřený na macOS. Přístup kyberzločinců je stále sofistikovanější
Navzdory tomu, že je všeobecně operační systém macOS v porovnání s ostatními považován za bezpečnější, existuje spousta kyberzločinců, kteří se přesto snaží jeho uživatele okrást. Jak dokazují statistiky společnosti Kaspersky, Shlayer – nejrozšířenější hrozba pro macOS roku 2019, je toho dobrým příkladem. Jeho hlavní zbraní je adware – programy, které terorizují uživatele nevyžádanými reklamami. Jsou také schopné zachytávat a shromažďovat vyhledávané informace, na jejichž základě upravují výsledky vyhledávání tak, aby mohly zobrazovat ještě více reklamních sdělení.
Podíl Shlayeru mezi hrozbami zaměřenými na zařízení macOS, která byla mezi lednem a listopadem 2019 chráněna produkty Kaspersky, dosáhl 29,28 %. Téměř všechny další hrozby v top 10 hrozbách pro macOS jsou adwary, které Shlayer instaluje: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit a AdWare.OSX.Cimpli. Od té doby, co byl Shlayer poprvé detekován, se jen minimálně změnil jeho algoritmus odpovědný za infekci, zatímco jeho aktivita zůstala nezměněná.
K infikování zařízení z pravidla dochází ve dvou fázích – nejprve si uživatel nainstaluje Shlayer a následně malware nainstaluje vybraný typ adwaru. K infikování zařízení ale dochází ve chvíli, kdy si uživatel nechtěně stáhne škodlivý program. Aby toho útočníci dosáhli, vytvořili distribuční systém s řadou kanálů, které navádějí uživatele ke stažení malwaru.
Kyberzločinci nabízejí Shlayer jako způsob zpeněžení webu v řadě partnerských programů s relativně vysokou platbou za každou instalaci provedenou americkými uživateli. Celé schéma funguje takto: uživatel na internetu vyhledává epizodu televizního seriálu nebo fotbalový zápas. Reklamní cílová stránka ho přesměruje na falešné stránky s aktualizacemi Flash Player. Odtud si oběť stáhne malware. Partner, který je odpovědný za distribuci odkazu se škodlivým programem, je odměněn platbou za každou zprostředkovanou instalaci. V řadě případů byly na škodlivé stránky s falešnou Adobe Flash aktualizací uživatelé přesměrováni také ze stránek jako je YouTube nebo Wikipedia. Na video portálu byly škodlivé odkazy uvedeny v popisku videí, v internetové encyklopedii byly odkazy skryty ve zdrojích jednotlivých článků.
Téměř všechny stránky, které vedly k falešné Flash Player aktualizaci, měly obsah v angličtině. Tomu odpovídá i zastoupení států s nejvyšším počtem napadených uživatelů: USA (31 %), Německo (14 %), Francie (10 %) a Velká Británie (10 %).
Řešení Kaspersky detekují Shlayer a s ním spojené objekty jako:
HEUR:Trojan-Downloader.OSX.Shlayer.*
not-a-virus:HEUR:AdWare.OSX.Cimpli.*
not-a-virus:AdWare.Script.SearchExt.*
not-a-virus:AdWare.Python.CimpliAds.*
not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Aby uživatelé macOS minimalizovali riziko útoku touto malwarovou rodinou, doporučují odborníci z Kaspersky následující opatření:
- Programy a aktualizace instalujte pouze z důvěryhodných zdrojů
- Zjistěte si více informací o stránce se zábavným obsahem – jakou má pověst a co na ni říkají ostatní uživatelé
- Používejte na svých zařízeních účinné bezpečnostní řešení