Un nuovo, su larga scala campagna malvertising Mac è stato appena scoperto. i ricercatori di sicurezza di Confiant dicono che circa il 1 milioni di sessioni utente sono stati potenzialmente esposti. Il carico utile della campagna malvertising è lo Shlayer Trojan.
Chi è alla base della campagna Mac Malvertising?
Si ritiene che un gruppo conosciuto come VeryMal è dietro questi attacchi malvertising Mac. Il gruppo ha preso di mira gli utenti Mac, e sembra che cambia solo passato a un nuovo scenario dannoso. Precedentemente, criminali VeryMal usati steganografia come tecnica di offuscamento. Ora, il gruppo sta utilizzando i tag annuncio che recuperano un carico utile da Google Firebase con lo scopo di utenti malintenzionati reindirizzamento a pop-up, Confiant detto.
Che cosa è Firebase? Firebase è una piattaforma mobile e sviluppo di applicazioni web sviluppata da Firebase, Inc. in 2011, poi acquisita da Google nel 2014. La piattaforma è ricco di funzionalità, e dispone di una suite cloud-hosted backend che viene in genere utilizzato per lo sviluppo di applicazioni mobili. Uno dei componenti sfruttati dagli aggressori è Firestore, ed è stato sfruttato nei tag creativi.
"Il codice nel tag in realtà non fa altro che richiesta di una voce dalla dell'attaccante FireStore DB e quindi eseguire come JavaScript utilizzando l'eval() dichiarazione on line 27", i ricercatori hanno notato.
Dopo il primo controllo per vedere se è in esecuzione in un ambiente desktop di Safari, il codice ha un sub-condizione che consente di verificare se “navigator.javaEnabled()”È stato manomesso nel contesto attuale. Se tutti i controlli fuori, il carico utile reindirizza il visitatore ignaro al prompt Flash. L'aspetto notevole, tuttavia, è che il tag sembra alla maggior parte delle persone e meccanismi di difesa come un normale, Tag annuncio innocuo.
Per fortuna, Google ha sospeso i conti Firebase abusati, ma i ricercatori ritengono che i criminali informatici continuano a sfruttare con questa tecnica.
Per quanto riguarda i reindirizzamenti esposizione-AD, essi sono stati impiegati per fornire falsi aggiornamenti di Flash per gli utenti ignari. Una volta che i potenziali interagisce vittima con l'annuncio su un sito web, una mostra pop-up che chiede all'utente di aggiornare il Flash Player. Al momento di accettare la richiesta, il carico utile, Shlayer Trojan, sarà schierato.
Maggiori informazioni sul Shlayer Trojan
Lo Shlayer Trojan è stato conosciuto per l'uso di falsi aggiornamenti di Adobe Flash. Una campagna precedente falso utilizzato aggiorna aggiornamenti false che mascherato da siti legittimi, o domini dirottati in precedenza l'hosting di siti legittimi.
le estensioni del browser maligni sono stati utilizzati anche dal Trojan. Il codice pericoloso è travestito ancora una volta come un programma di installazione di Adobe Flash Player.
Tenete a mente che lo Shlayer Mac Trojan può portare a ulteriori infezioni. Data la sua struttura modulare complessa, può essere facilmente utilizzato per altri scopi dannosi, come il seguente:
La raccolta dati. Il malware può essere utilizzato per i dati raccolti che possono essere configurati per estrarre entrambi i parametri della macchina e le informazioni dell'utente. La prima categoria è usato per generare un ID univoco che viene assegnato a ogni singola macchina. Questo viene fatto tramite un algoritmo che utilizza un elenco dei componenti hardware installati, impostazioni utente e altri parametri del sistema operativo. Si può anche esporre direttamente l'identità delle vittime, cercando fuori per le stringhe che possono rivelare il loro nome, indirizzo, numero di telefono, posizione e le eventuali credenziali di account memorizzati.
modifiche al sistema. Per facilitare ulteriori infezioni del codice payload può effettuare varie modifiche alle macchine compromesse - file di configurazione, valori ambiente di sistema operativo e le impostazioni utente.
Opzioni di avvio Modifiche. Accedendo le impostazioni del computer Mac OS Le Shlayer Trojan può impostare se stesso o gli altri carichi utili distribuiti ai avvia automaticamente quando il computer è acceso.
Ulteriori Payload di consegna. Il Trojan può essere utilizzato per fornire altre minacce per il computer, come i minatori e ransomware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: