En ny, storstilet Mac malvertising kampagnen blev lige opdaget. Sikkerhed forskere på Confiant sige, at ca. 1 million brugersessioner er potentielt udsættes. Nyttelasten af malvertising kampagnen er Shlayer Trojan.
Hvem der står bag Mac malvertising kampagne?
Det menes, at en gruppe kaldet VeryMal er bag disse Mac malvertising angreb. Gruppen har været rettet mod Mac-brugere, og det lader til, at det bare ændrer skiftet til en ny ondsindet scenarie. Tidligere, VeryMal kriminelle anvendes steganografi som en formørkelse teknik. Nu, gruppen er at udnytte annoncetags, der henter en nyttelast fra Google Firebase med det formål at omdirigere brugere til ondsindede pop-ups, Confiant sagde.
Hvad er Firebase? Firebase er en mobil og web-applikation udvikling platform udviklet af Firebase, Inc. i 2011, derefter købt af Google i 2014. Platformen er rig på funktioner, og har en cloud-hosted backend suite, som anvendes typisk til mobile app udvikling. En af de komponenter, udnyttes af angriberne er Firestore, og det er blevet gearede i kreative tags.
"Koden i taggen faktisk gør noget mere end anmodning en post fra angriberens Firestore DB og derefter udføre det som JavaScript bruge eval() erklæring om linjen 27", forskerne bemærkede.
Efter første kontrol for at se om det kører i en desktop Safari miljø, koden har en sub-tilstand, der kontrollerer, om ”navigator.javaEnabled()”Er blevet manipuleret med i det aktuelle miljø. Hvis alle kontroller ud, nyttelasten vil omdirigere intetanende besøgende til Flash prompt. Den bemærkelsesværdigt aspekt er imidlertid, at tag ser ud til at de fleste mennesker og forsvarsmekanismer som en normal, uskadelig annoncetag.
Heldigvis, Google har suspenderet misbrugte Firebase konti, men forskere mener, at cyberkriminelle med fortsat at udnytte denne teknik.
Med hensyn til de display-annonce omdirigeringer, de bliver indsat for at levere falske Flash-opdateringer til intetanende brugere. Når det potentielle offer interagerer med annoncen på et websted, en pop-up shows hvilket fik brugeren til at opdatere deres Flash player. Ved at acceptere at den prompt, nyttelasten, Shlayer Trojan, vil blive anvendt.
Mere om Shlayer Trojan
Den Shlayer trojanske har været kendt for at bruge falske Adobe Flash-opdateringer. En tidligere kampagne brugt falske opdateringer falske opdateringer, masqueraded som legitime websteder, eller kapret domæner tidligere vært legitime websteder.
Ondsindede browserudvidelser er også blevet brugt af den trojanske. Den farlige kode er forklædt igen som en Adobe Flash Player installationsprogram.
Husk, at det Shlayer Mac Trojan kan føre til yderligere infektioner. Givet sin komplekse modulære design, Det kan sagtens bruges til andre ondsindede formål, såsom følgende:
Information Høst. Malwaren kan anvendes til høstdata der kan konfigureres til at udtrække både maskinens målinger og brugerinformation. Den første kategori bruges til at generere et unikt id, der er tildelt hver enkelt maskine. Dette gøres via en algoritme, der bruger en liste over installerede hardwarekomponenter, brugerindstillinger og andre operativsystem målinger. Det kan også direkte afsløre identiteten af ofrene ved at se ud efter strenge, der kan afsløre deres navn, adresse, telefonnummer, placering og eventuelle gemte kontooplysninger.
System Ændringer. For at lette yderligere infektioner nyttelasten kode kan foretage forskellige ændringer af de inficerede maskiner - konfigurationsfiler, operativsystemmiljø værdier og brugerindstillinger.
Boot Options Ændringer. Ved at få adgang Mac OS computere indstillingerne for Shlayer trojanske kan indstille sig selv eller de andre udsendte nyttelast til automatisk at starte, når computeren er tændt.
Yderligere Payload Levering. Den trojanske kan bruges til at levere andre trusler mod computere såsom minearbejdere og ransomware.