Számítástechnika
sulaki - 2020-01-25
Bár a macOS-t hagyományosan sokkal biztonságosabb rendszernek tartják, mégis vannak olyan kiberbűnözők, akik a macOS-használókból próbálnak meg profitálni...
2019-ben a Kaspersky minden tizedik eszközön legalább egy alkalommal előzött meg olyan támadást a cég Mac gépekre fejlesztett megoldásai segítségével, amelyet a trójai víruscsaládba tartozó Shlayer vírus okozott volna. Ez a szám azt mutatja, hogy jelenleg a Shlayer a legelterjedtebb fenyegetés, amelytől a macOS-használóknak tartaniuk kell. Az okos malware-terjesztő rendszer partnerhálózatokon, szórakoztató weboldalakon, sőt, még a Wikipédián keresztül is terjed, bizonyítva, hogy az online térben még azoknak a felhasználóknak is szükségük van további védelemre, akik kizárólag legális oldalakat látogatnak.
Bár a macOS-t hagyományosan sokkal biztonságosabb rendszernek tartják, mégis vannak olyan kiberbűnözők, akik a macOS-használókból próbálnak meg profitálni. Jó példa erre a 2019-es évben a legelterjedtebb macOS-fenyegegést jelentő Shlayer a Kaspersky statisztikái szerint. A vírus jellegzetessége, hogy reklámszoftvereket (adware-t) telepít fel, amelyek azzal terrorizálják a felhasználókat, hogy illegális reklámokat jelenítenek meg, elfogják és begyűjtik a felhasználók böngészőkben tett keresési lekérdezéseit, és a keresési találatok módosításával még több reklámüzenetet terjesztenek.
A Shlayer általi támadások csaknem az egyharmadát (29,28%-át) tették ki a macOS rendszert használó eszközöket érő, a Kaspersky-termékek által a 2019. január és november közötti időszakban regisztrált összes támadásnak, ráadásul a többi 10 toplistás macOS-fenyegetés csaknem mindegyike is olyan reklámszoftver volt, amelyet a Shlayer telepít: AdWare.OSX. Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit and AdWare.OSX.Cimpli. Mindemellett a Shlayer fertőzési algoritmusa az első észlelése óta alig változott, annak ellenére, hogy az aktivitása alig csökkent, ezért különösen nagy fenyegetést jelent, amely ellen a felhasználók védelmet igényelnek.
A 10 leggyakoribb macOS-fenyegetés a Kaspersky macOS-hoz fejlesztett termékeit használó megtámadott felhasználók százalékos arányában mérve, 2019. január–november
A fertőzési folyamat gyakorta két fázisból áll: a felhasználó először feltelepíti a Shlayert, aztán a malware feltelepít egy kiválasztott reklámszoftver-típust. Az eszköz megfertőzése azonban azzal kezdődik, hogy a mit sem sejtő felhasználó letölti a rosszindulatú programot. Ahhoz, hogy megtörténjenek a telepítések, a Shlayer mögött álló támadó létrehoz egy malware-terjesztő rendszert, amelyben több csatorna is a malware letöltése felé irányítja a felhasználókat.
A Shlayer számos fájlmegosztó partnerprogramban is megjelenik, mint pénzkereseti lehetőség: az amerikai felhasználók által végzett minden egyes malware-telepítésért meglehetősen nagy összeg jár, így már több mint 1000 „partneroldal” terjeszti a Shlayert. A módszer a következő: a felhasználó egy tévésorozat-epizódot vagy egy focimeccset keres, és a hirdetési nyitóoldalak hamis
Más módszerek is léteznek a felhasználók hamis Adobe Flash-frissítési oldalakra való eljuttatására. Ilyen például a felhasználók átirányítása a különféle nagy, többmilliós közönséget vonzó online szolgáltatásokból, például a YouTube-ról, ahol a videók leírásaiban, illetve a Wikipédiáról, aholy a szócikkek hivatkozásaiban helyezik el a rosszindulatú weboldalakra mutató linkeket. Az ezekre a linkekre rákattintó felhasználókat is a Shlayer-letöltő nyitóoldalakra irányítják át. A Kaspersky kutatói 700 rosszindulatú tartalmú oldat találtak, amelyekre különböző legális oldalakról lehetett átjutni.
„A macOS platform remek bevételi forrást jelent a kiberbűnözők számára, akik folyamatosan új módszereket keresnek a felhasználók megtévesztésére, és aktívan alkalmazzák a pszichológiai manipulációs technikákat a rosszindulatú programjaik terjesztéséhez. Ez az eset is azt bizonyítja, hogy még a legális weboldalak sem mentesek az ilyen jellegű fenyegetésektől. A macOS-használók szerencséjére azonban a macOS-t célba vevő legelterjedtebb fenyegetések jelenleg leginkább az illegális reklámok megjelenítésére koncentrálódnak, nem pedig valami még veszélyesebb dologra, például a pénzügyi adatok ellopására. Egy hatékony webes biztonsági megoldás védelmet tud nyújtani a felhasználóknak az ilyen fenyegetések ellen, elősegítve, hogy a webes böngészés biztonságos és kellemes élménnyé váljon” – jelentette ki Anton Ivanov, a Kaspersky biztonsági elemzője.
Bár a macOS-t hagyományosan sokkal biztonságosabb rendszernek tartják, mégis vannak olyan kiberbűnözők, akik a macOS-használókból próbálnak meg profitálni. Jó példa erre a 2019-es évben a legelterjedtebb macOS-fenyegegést jelentő Shlayer a Kaspersky statisztikái szerint. A vírus jellegzetessége, hogy reklámszoftvereket (adware-t) telepít fel, amelyek azzal terrorizálják a felhasználókat, hogy illegális reklámokat jelenítenek meg, elfogják és begyűjtik a felhasználók böngészőkben tett keresési lekérdezéseit, és a keresési találatok módosításával még több reklámüzenetet terjesztenek.
A Shlayer általi támadások csaknem az egyharmadát (29,28%-át) tették ki a macOS rendszert használó eszközöket érő, a Kaspersky-termékek által a 2019. január és november közötti időszakban regisztrált összes támadásnak, ráadásul a többi 10 toplistás macOS-fenyegetés csaknem mindegyike is olyan reklámszoftver volt, amelyet a Shlayer telepít: AdWare.OSX. Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit and AdWare.OSX.Cimpli. Mindemellett a Shlayer fertőzési algoritmusa az első észlelése óta alig változott, annak ellenére, hogy az aktivitása alig csökkent, ezért különösen nagy fenyegetést jelent, amely ellen a felhasználók védelmet igényelnek.
Verdikt |
A megtámadott felhasználók százalékos aránya |
HEUR:Trojan-Downloader.OSX.Shlayer.a |
29,28% |
not-a-virus:HEUR:AdWare.OSX.Bnodlero.q |
13,46% |
not-a-virus:HEUR:AdWare.OSX.Spc.a |
10,20% |
not-a-virus:HEUR:AdWare.OSX.Pirrit.p |
8,29% |
not-a-virus:HEUR:AdWare.OSX.Pirrit.j |
7,98% |
not-a-virus:AdWare.OSX.Geonei.ap |
7,54% |
not-a-virus:HEUR:AdWare.OSX.Geonei.as |
7,47% |
not-a-virus:HEUR:AdWare.OSX.Bnodlero.t |
6,49% |
not-a-virus:HEUR:AdWare.OSX.Pirrit.o |
6,32% |
not-a-virus:HEUR:AdWare.OSX.Bnodlero.x |
6,19% |
A 10 leggyakoribb macOS-fenyegetés a Kaspersky macOS-hoz fejlesztett termékeit használó megtámadott felhasználók százalékos arányában mérve, 2019. január–november
A fertőzési folyamat gyakorta két fázisból áll: a felhasználó először feltelepíti a Shlayert, aztán a malware feltelepít egy kiválasztott reklámszoftver-típust. Az eszköz megfertőzése azonban azzal kezdődik, hogy a mit sem sejtő felhasználó letölti a rosszindulatú programot. Ahhoz, hogy megtörténjenek a telepítések, a Shlayer mögött álló támadó létrehoz egy malware-terjesztő rendszert, amelyben több csatorna is a malware letöltése felé irányítja a felhasználókat.
A Shlayer számos fájlmegosztó partnerprogramban is megjelenik, mint pénzkereseti lehetőség: az amerikai felhasználók által végzett minden egyes malware-telepítésért meglehetősen nagy összeg jár, így már több mint 1000 „partneroldal” terjeszti a Shlayert. A módszer a következő: a felhasználó egy tévésorozat-epizódot vagy egy focimeccset keres, és a hirdetési nyitóoldalak hamis
Flash
Player-frissítési oldalakra irányítják át. Innen aztán az áldozat letölti a malware-t. Az a partner, aki a malware-re mutató linkeket terjesztette, minden egyes ilyen telepítés után meghatározott összegű pénzt kap.
Más módszerek is léteznek a felhasználók hamis Adobe Flash-frissítési oldalakra való eljuttatására. Ilyen például a felhasználók átirányítása a különféle nagy, többmilliós közönséget vonzó online szolgáltatásokból, például a YouTube-ról, ahol a videók leírásaiban, illetve a Wikipédiáról, aholy a szócikkek hivatkozásaiban helyezik el a rosszindulatú weboldalakra mutató linkeket. Az ezekre a linkekre rákattintó felhasználókat is a Shlayer-letöltő nyitóoldalakra irányítják át. A Kaspersky kutatói 700 rosszindulatú tartalmú oldat találtak, amelyekre különböző legális oldalakról lehetett átjutni.
„A macOS platform remek bevételi forrást jelent a kiberbűnözők számára, akik folyamatosan új módszereket keresnek a felhasználók megtévesztésére, és aktívan alkalmazzák a pszichológiai manipulációs technikákat a rosszindulatú programjaik terjesztéséhez. Ez az eset is azt bizonyítja, hogy még a legális weboldalak sem mentesek az ilyen jellegű fenyegetésektől. A macOS-használók szerencséjére azonban a macOS-t célba vevő legelterjedtebb fenyegetések jelenleg leginkább az illegális reklámok megjelenítésére koncentrálódnak, nem pedig valami még veszélyesebb dologra, például a pénzügyi adatok ellopására. Egy hatékony webes biztonsági megoldás védelmet tud nyújtani a felhasználóknak az ilyen fenyegetések ellen, elősegítve, hogy a webes böngészés biztonságos és kellemes élménnyé váljon” – jelentette ki Anton Ivanov, a Kaspersky biztonsági elemzője.
A Kaspersky megoldásai az alábbi verdiktekkel észlelik a Shlayert és annak artifaktjait:
HEUR:Trojan-Downloader.OSX.Shlayer.*
not-a-virus:HEUR:AdWare.OSX.Cimpli.*
not-a-virus:AdWare.Script.SearchExt.*
not-a-virus:AdWare.Python.CimpliAds.*
not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Az említett trójai családhoz köthető oldalak, artifaktok és linkek, valamint a megállapítások további részletei itt találhatók.
A trójai vírusok, mint például a Shlayer okozta fertőzés kockázatának csökkentésére a Kaspersky a következőket javasolja:
-
Csak megbízható forrásokból telepítsen programokat és frissítéseket.
-
Szerezzen bővebb információt a meglátogatni kívánt szórakoztató weboldalról: keressen rá a neten, hogy milyen hírnévnek örvend, és próbáljon meg rá vonatkozó véleményeket találni.
-
Használjon megbízható biztonsági megoldást, például a Kaspersky Security Cloud szoftvert, amely fejlett védelemmel látja el a Mac gépeket, a személyi számítógépeket és a mobil eszközöket egyaránt.