Uma nova, em larga escala Mac campanha de publicidade maliciosa foi apenas descoberto. pesquisadores de segurança da Confiant dizer que aproximadamente 1 milhões de sessões de usuários foram potencialmente expostos. A carga útil da campanha maliciosa é a Shlayer Trojan.
Quem está por trás da campanha Malvertising Mac?
Acredita-se que um grupo conhecido como VeryMal esteja por trás desses ataques de má publicidade do Mac. O grupo tem como alvo usuários de Mac, e parece que apenas muda para um novo cenário malicioso. Anteriormente, Os criminosos da VeryMal usaram a esteganografia como uma técnica de ofuscação. Agora, o grupo está utilizando tags de anúncio que recuperam uma carga útil do Google Firebase com o objetivo de redirecionar usuários para pop-ups maliciosos, Confiant disse.
O que é Firebase? Firebase é uma plataforma de desenvolvimento de aplicativos para dispositivos móveis e web desenvolvida pela Firebase, Inc. no 2011, adquirido pelo Google em 2014. A plataforma é rica em recursos, e possui um pacote de back-end hospedado na nuvem, que normalmente é usado para o desenvolvimento de aplicativos para dispositivos móveis. Um dos componentes explorados pelos atacantes é o Firestore, e foi aproveitado em tags criativas.
“Na verdade, o código na tag nada mais é do que solicitar uma entrada do Firestore DB do invasor e, em seguida, executá-la como JavaScript usando o eval() declaração on-line 27”, os pesquisadores notaram.
Após verificar primeiro se está sendo executado em um ambiente Safari de desktop, o código possui uma subcondição que verifica se “navigator.javaEnabled()"Foi adulterado no ambiente atual. Se todos os check-out, a carga redirecionará o visitante inocente para o prompt do Flash. O aspecto notável, no entanto, é que a etiqueta parece para a maioria das pessoas e mecanismos de defesa como um processo normal., tag de anúncio inócua.
Felizmente, O Google suspendeu as contas abusadas do Firebase, mas os pesquisadores acreditam que os cibercriminosos continuam a alavancar essa técnica.
Quanto aos redirecionamentos de anúncios gráficos, eles estão sendo implantados para fornecer atualizações falsas do Flash para usuários inocentes. Depois que a vítima em potencial interage com o anúncio em um site, um pop-up é exibido solicitando que o usuário atualize seu Flash player. Ao concordar com o aviso, a carga, Shlayer Trojan, vai ser implantado.
Mais sobre o Trojan Shlayer
O Trojan Shlayer é conhecido por usar atualizações falsas do Adobe Flash. Uma campanha anterior usava atualizações falsas atualizações falsas que mascaravam como sites legítimos, ou domínios seqüestrados anteriormente hospedando sites legítimos.
Extensões maliciosas do navegador também foram usadas pelo Trojan. O código perigoso é disfarçado mais uma vez como um instalador do Adobe Flash Player.
Lembre-se de que o Shlayer Mac Trojan pode levar a novas infecções. Dado seu design modular complexo, pode ser facilmente usado para outros fins maliciosos, tal como a seguir:
Recolha de informações. O malware pode ser usado para coletar dados que podem ser configurados para extrair métricas da máquina e informações do usuário. A primeira categoria é usada para gerar uma identificação única que é atribuído a cada máquina individual. Isso é feito por meio de um algoritmo que usa uma lista de componentes de hardware instalados, configurações de usuário e outras métricas do sistema operacional. Ele também pode expor diretamente a identidade das vítimas, olhando para fora para cordas que podem revelar o seu nome, endereço, número de telefone, localização e quaisquer credenciais da conta armazenados.
Alterações do sistema. Para facilitar outras infecções, o código da carga útil pode fazer várias alterações nas máquinas comprometidas - arquivos de configuração, operando valores de ambiente do sistema e configurações do usuário.
Opções de inicialização Modificações. Ao acessar as configurações dos computadores Mac OS, o Trojan Shlayer pode definir a si mesmo ou as outras cargas úteis implantadas para iniciar automaticamente quando o computador é ligado..
Entrega adicional Payload. O Trojan pode ser usado para entregar outras ameaças aos computadores, como mineradores e ransomware.