Яромир Міко Минулого року продукти захисту Mac від Kaspersky запобігли атакам зловмисного програмного забезпечення сімейства троянів Shlayer на кожному десятому пристрої. Таким чином, це була найпоширеніша загроза для користувачів macOS. В основному це пов’язано зі способом поширення, коли зловмисне програмне забезпечення поширюється через партнерську мережу, розважальні веб-сайти або навіть Вікіпедію. Це підтверджує той факт, що навіть користувачі, які відвідують лише легальні сайти, потребують додаткового захисту від онлайн-загроз.
Фото галерея
Незважаючи на те, що операційна система macOS зазвичай вважається більш безпечною порівняно з іншими, є багато кіберзлочинців, які все ще намагаються пограбувати її користувачів. Shlayer – найпоширеніша загроза macOS 2019 року, є хорошим прикладом цього, про що свідчить статистика Касперського. Його основною зброєю є рекламне ПЗ – програми, які тероризують користувачів небажаною рекламою. Вони також можуть фіксувати та збирати пошукову інформацію, на основі якої коригують результати пошуку, щоб вони могли відображати ще більше рекламних повідомлень.
Частка загроз Shlayer, націлених на пристрої macOS, захищені продуктами Kaspersky, у період з січня по листопад 2019 року досягла 29,28%. Майже всі інші загрози в топ-10 загроз для macOS є рекламним ПЗ, яке встановлює Shlayer: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit і AdWare.OSX.Cimpli. З тих пір як Shlayer був вперше виявлений, його алгоритм, відповідальний за зараження, змінився лише мінімально, тоді як його активність залишилася незмінною.
| Об'єкт | Частка зламаних користувачів |
| HEUR:Trojan-Downloader.OSX.Shlayer.a | 29.28% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.q | 13.46% |
| not-a-virus:HEUR:AdWare.OSX.Spc.a | 10.20% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.p | 8.29% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.j | 7.98% |
| not-a-virus:AdWare.OSX.Geonei.ap | 7.54% |
| not-a-virus:HEUR:AdWare.OSX.Geonei.as | 7.47% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.t | 6.49% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.o | 6.32% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.x | 6.19% |
Топ-10 загроз, націлених на macOS, за часткою заражених користувачів, які використовують продукти Касперського (січень-листопад 2019 р.)
Пристрій заражається за правилом у два етапи – спочатку користувач встановлює Shlayer, а потім шкідливе програмне забезпечення встановлює обраний тип рекламного ПЗ. Однак пристрій заражається, коли користувач ненавмисно завантажує шкідливу програму. Щоб досягти цього, зловмисники створили систему розповсюдження з низкою каналів, які обманом спонукають користувачів завантажувати шкідливі програми.
Кіберзлочинці пропонують Shlayer як спосіб монетизації сайту в ряді партнерських програм з відносно високою оплатою за кожну установку, зроблену користувачами з США. Вся схема працює так: користувач шукає в Інтернеті серію серіалу або футбольний матч. Рекламна цільова сторінка перенаправляє його на підроблені сторінки оновлення Flash Player. Звідти жертва завантажує зловмисне програмне забезпечення. Партнер, який відповідає за розповсюдження посилання на зловмисне програмне забезпечення, отримує винагороду за кожне сприяння встановленню. У багатьох випадках користувачі також перенаправлялися на шкідливі сторінки з підробленим оновленням Adobe Flash із таких сайтів, як YouTube або Wikipedia. На відеопорталі шкідливі посилання були вказані в описі відео, в інтернет-енциклопедії посилання були приховані в джерелах окремих статей.
Майже всі сайти, які призвели до підробленого оновлення Flash Player, мали вміст англійською мовою. Це відповідає представництву країн з найбільшою кількістю атакованих користувачів: США (31%), Німеччина (14%), Франція (10%) і Велика Британія (10%).
Рішення Kaspersky виявляють Shlayer та пов’язані з ним об’єкти, такі як:
- HEUR:Trojan-Downloader.OSX.Shlayer.*
- not-a-virus:HEUR:AdWare.OSX.Cimpli.*
- not-a-virus:AdWare.Script.SearchExt.*
- not-a-virus:AdWare.Python.CimpliAds.*
- not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Щоб користувачі macOS звели до мінімуму ризик атаки цього сімейства шкідливих програм, експерти Kaspersky рекомендують наступні заходи:
- Встановлюйте лише програми та оновлення з перевірених джерел
- Дізнайтеся більше про розважальний сайт – яка його репутація та що про нього говорять інші користувачі
- Використовуйте ефективні рішення безпеки на своїх пристроях
