新しい, 大規模なMacマルバタイジングキャンペーンが発見されたばかり. Confiantのセキュリティ研究者は、およそ 1 百万のユーザーセッションが潜在的に公開されています. マルバタイジングキャンペーンのペイロードはShlayerトロイの木馬です.
Macマルバタイジングキャンペーンの背後にいるのは誰か?
VeryMalとして知られるグループがこれらのMacマルバタイジング攻撃の背後にいると考えられています. このグループはMacユーザーをターゲットにしています, そして、それは新しい悪意のあるシナリオに切り替えられただけのようです. 以前, VeryMalの犯罪者は、難読化手法としてステガノグラフィを使用しました. 今, このグループは、ユーザーを悪意のあるポップアップにリダイレクトする目的で、GoogleFirebaseからペイロードを取得する広告タグを利用しています, コンフィアントは言った.
Firebaseとは? Firebaseは、Firebaseによって開発されたモバイルおよびウェブアプリケーション開発プラットフォームです。, 株式会社. の 2011, その後、Googleによって取得されました 2014. プラットフォームは機能が豊富です, クラウドでホストされるバックエンドスイートがあり、通常はモバイルアプリの開発に使用されます. 攻撃者によって悪用されるコンポーネントの1つはFirestoreです, そしてそれはクリエイティブタグで活用されています.
「「タグ内のコードは、実際には、攻撃者のFirestore DBにエントリを要求し、evalを使用してJavaScriptとして実行するだけです。() 行のステートメント 27」, 研究者は指摘した.
デスクトップSafari環境で実行されているかどうかを最初に確認した後, コードには、「navigator.javaEnabled」かどうかを確認するサブ条件があります()」は現在の環境で改ざんされています. すべてがチェックアウトした場合, ペイロードは、疑いを持たない訪問者をFlashプロンプトにリダイレクトします. ただし、注目すべき点は、タグがほとんどの人に見え、防御機構が通常のように見えることです。, 無害な広告タグ.
幸運, Googleは悪用されたFirebaseアカウントを停止しました, しかし、研究者は、サイバー犯罪者がこの手法を引き続き活用していると信じています.
ディスプレイ広告のリダイレクトについて, それらは、疑いを持たないユーザーに偽のFlashアップデートを配信するために展開されています. 潜在的な被害者がWebサイトの広告を操作したら, ポップアップが表示され、Flashプレーヤーを更新するようにユーザーに促します. プロンプトに同意すると, ペイロード, シュレイヤートロイの木馬, 展開されます.
Shlayerトロイの木馬の詳細
Shlayerトロイの木馬は、偽のAdobeFlashアップデートを使用することで知られています. 以前のキャンペーンでは、偽の更新を使用しました。正当なサイトを装った偽の更新, または以前は正当なサイトをホストしていたドメインを乗っ取った.
悪意のあるブラウザ拡張機能もトロイの木馬によって使用されています. 危険なコードは、AdobeFlashPlayerインストーラーに偽装されています.
Shlayer Macトロイの木馬は、さらなる感染につながる可能性があることに注意してください. その複雑なモジュラー設計を考えると, 他の悪意のある目的に簡単に使用できます, 次のような:
情報収集. マルウェアは、マシンメトリックとユーザー情報の両方を抽出するように構成できるデータを収集するために使用できます. 最初のカテゴリは、個々のマシンに割り当てられる一意のIDを生成するために使用されます. これは、インストールされているハードウェアコンポーネントのリストを使用するアルゴリズムを介して行われます。, ユーザー設定およびその他のオペレーティングシステムのメトリック. また、被害者の名前を明らかにする可能性のある文字列を探すことで、被害者の身元を直接明らかにすることもできます。, 住所, 電話番号, 場所と保存されているアカウントのクレデンシャル.
システムの変更. さらなる感染を促進するために、ペイロードコードは、侵害されたマシンにさまざまな変更を加えることができます—構成ファイル, オペレーティングシステム環境の値とユーザー設定.
ブートオプションの変更. Mac OSコンピュータの設定にアクセスすることにより、Shlayerトロイの木馬は、コンピュータの電源がオンになったときに自動的に起動するように、自身または他のデプロイされたペイロードを設定できます。.
追加のペイロード配信. このトロイの木馬は、マイナーやランサムウェアなどの他の脅威をコンピューターに配信するために使用される可能性があります.