Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Opisi virusa, 24.01.2020, 04:00 AM

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar primer za to je Shlayer, najrasprostranjeniji malver za macOS u 2019. godini. Shlayer je trojanac downloader koji se širi preko lažnih programa koji kriju maliciozni kod. Njegova svrha je instaliranje adwarea, programa koji bombarduju korisnike neželjenim reklamama i presretanje pretraga korisnika u pregledaču i izmena rezultata pretrage što ima za cilj prikazivanje što više reklama.

Prema telemetrijskim podacima kompanije Kaspersky, Shlayer je odgovoran za 29% svih napada na macOS uređaje u 2019. godini što mu je obezbedilo vodeću poziciju među malverima za macOS. Većina preostalih malvera sa liste Top 10 pretnji za macOS su adwarei koje instalira Shlayer - AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit i AdWare.OSX.Cimpli.

Shlayer uglavnom stiže na računare kada korisnik preuzme zlonamerni program. Istraživači kompanije Kaspersky kažu da sajber-kriminalci koriste složeni sistem distribucije sa brojnim kanalima koji vode korisnike do malvera.

„Shlayer se širi preko partnerske mreže hiljade web sajtova, često ciljajući posetioce legitimnih web sajtova, uključujući YouTube i Wikipediju“, kaže se u analizi malvera objavljenoj u četvrtak. „YouTube, gde su linkovi za maliciozni web sajt uključeni u opise videa, i Wikipedia, gde su takvi linkovi sakriveni u referencama članaka.“

Oni koji stoje iza Shlayera nude vlasnicima sajtova i onima koji su voljni da, recimo, postave video na YouTubeu ili urede stranicu na Wikipediji, obećavaju da će zaraditi od svog web sajta ako budu objavljivali linkove koji vode do Shlayera. Sajber-kriminalci nude relativno veliku nadoknadu za svaku instalaciju malvera, i to za američke korisnike. Više od 1000 partnerskih web sajtova distribuira Shlayer, tvrde iz kompanije Kaspersky.

Kako to u praksi funkcioniše? Korisnik koji recimo traži epizodu popularne TV serije ili fudbalsku utakmicu preusmerava se na lažni sajt koji navodno nudi traženi sadržaj. Na sajtu će korisnika sačekati linkovi koji vode do malvera. Istraživači Kaspersky Laba kažu da su videli preusmeravanja na stranice sa lažnim ažuriranjem za Flash Player sa kojih žrtve preuzimaju malver. Za svako preuzimanje malvera, partner koji je objavio link do malvera dobija uplatu.

Istraživači kompanije Kaspersky pronašli su preko 700 domena sa malverom Shlayer, na koje korisnike preusmeravaju linkovi koje distribuiraju partneri.

Skoro sve web stranice koje vode do lažnog Flash Playera imaju sadržaj na engleskom jeziku. Najviše inficiranih korisnika je u SAD (31%), Nemačkoj (14%), Francuskoj (10%) i Velikoj Britaniji (10%).

„MacOS platforma je dobar izvor zarade za sajber-kriminalce koji neprestano traže nove načine da prevare korisnike i aktivno koriste tehnike društvenog inženjeringa za širenje malvera. Ovaj slučaj pokazuje da takve pretnje mogu da se nađu čak i na legitimnim web sajtovima. Srećom za korisnike macOS-a, najrasprostranjenije pretnje koje ciljaju macOS su trenutno nezakonito reklamiranje, a ne nešto opasnije, poput krađe finansijskih podataka”, kaže Anton Ivanov, analitičar kompanije Kaspersky.

Više o malveru Shlayer možete naći na blogu kompanije Kaspersky, Securelist.