Un nuovo, su larga scala campagna malvertising Mac è stato appena scoperto. i ricercatori di sicurezza di Confiant dicono che circa il 1 milioni di sessioni utente sono stati potenzialmente esposti. Il carico utile della campagna malvertising è lo Shlayer Trojan.
Chi è alla base della campagna Mac Malvertising?
Si ritiene che un gruppo conosciuto come VeryMal è dietro questi attacchi malvertising Mac. Il gruppo ha preso di mira gli utenti Mac, e sembra che cambia solo passato a un nuovo scenario dannoso. Precedentemente, criminali VeryMal usati steganografia come tecnica di offuscamento. Ora, il gruppo sta utilizzando i tag annuncio che recuperano un carico utile da Google Firebase con lo scopo di utenti malintenzionati reindirizzamento a pop-up, Confiant detto.
Che cosa è Firebase? Firebase è una piattaforma mobile e sviluppo di applicazioni web sviluppata da Firebase, Inc. in 2011, poi acquisita da Google nel 2014. La piattaforma è ricco di funzionalità, e dispone di una suite cloud-hosted backend che viene in genere utilizzato per lo sviluppo di applicazioni mobili. Uno dei componenti sfruttati dagli aggressori è Firestore, ed è stato sfruttato nei tag creativi.
"Il codice nel tag in realtà non fa altro che richiesta di una voce dalla dell'attaccante FireStore DB e quindi eseguire come JavaScript utilizzando l'eval() dichiarazione on line 27", i ricercatori hanno notato.
Dopo il primo controllo per vedere se è in esecuzione in un ambiente desktop di Safari, il codice ha un sub-condizione che consente di verificare se “navigator.javaEnabled()”È stato manomesso nel contesto attuale. Se tutti i controlli fuori, il carico utile reindirizza il visitatore ignaro al prompt Flash. L'aspetto notevole, tuttavia, è che il tag sembra alla maggior parte delle persone e meccanismi di difesa come un normale, Tag annuncio innocuo.
Per fortuna, Google ha sospeso i conti Firebase abusati, ma i ricercatori ritengono che i criminali informatici continuano a sfruttare con questa tecnica.
Per quanto riguarda i reindirizzamenti esposizione-AD, essi sono stati impiegati per fornire falsi aggiornamenti di Flash per gli utenti ignari. Una volta che i potenziali interagisce vittima con l'annuncio su un sito web, una mostra pop-up che chiede all'utente di aggiornare il Flash Player. Al momento di accettare la richiesta, il carico utile, Shlayer Trojan, sarà schierato.
Maggiori informazioni sul Shlayer Trojan
Lo Shlayer Trojan è stato conosciuto per l'uso di falsi aggiornamenti di Adobe Flash. Una campagna precedente falso utilizzato aggiorna aggiornamenti false che mascherato da siti legittimi, o domini dirottati in precedenza l'hosting di siti legittimi.
le estensioni del browser maligni sono stati utilizzati anche dal Trojan. Il codice pericoloso è travestito ancora una volta come un programma di installazione di Adobe Flash Player.
Tenete a mente che lo Shlayer Mac Trojan può portare a ulteriori infezioni. Data la sua struttura modulare complessa, può essere facilmente utilizzato per altri scopi dannosi, come il seguente:
La raccolta dati. Il malware può essere utilizzato per i dati raccolti che possono essere configurati per estrarre entrambi i parametri della macchina e le informazioni dell'utente. La prima categoria è usato per generare un ID univoco che viene assegnato a ogni singola macchina. Questo viene fatto tramite un algoritmo che utilizza un elenco dei componenti hardware installati, impostazioni utente e altri parametri del sistema operativo. Si può anche esporre direttamente l'identità delle vittime, cercando fuori per le stringhe che possono rivelare il loro nome, indirizzo, numero di telefono, posizione e le eventuali credenziali di account memorizzati.
modifiche al sistema. Per facilitare ulteriori infezioni del codice payload può effettuare varie modifiche alle macchine compromesse - file di configurazione, valori ambiente di sistema operativo e le impostazioni utente.
Opzioni di avvio Modifiche. Accedendo le impostazioni del computer Mac OS Le Shlayer Trojan può impostare se stesso o gli altri carichi utili distribuiti ai avvia automaticamente quando il computer è acceso.
Ulteriori Payload di consegna. Il Trojan può essere utilizzato per fornire altre minacce per il computer, come i minatori e ransomware.