Stovky stránek šíří malware zaměřený na macOS

Produkty Kaspersky chránicí zařízení Mac předešly v minulém roce útokům malwarové rodiny trojských koní Shlayer na každém desátém zařízení. Jednalo se tak o nejrozšířenější hrozbu pro uživatele macOS. Podepsal se pod tím především způsob distribuce, kdy se malware šíří prostřednictvím partnerské sítě, internetových stránek se zábavou nebo dokonce Wikipedie. Potvrzuje se tak fakt, že i uživatelé, kteří navštěvují pouze legální stránky, potřebují doplňkovou ochranu před online hrozbami.
Navzdory tomu, že je všeobecně operační systém macOS v porovnání s ostatními považován za bezpečnější, existuje spousta kyberzločinců, kteří se přesto snaží jeho uživatele okrást. Jak dokazují statistiky společnosti Kaspersky, Shlayer – nejrozšířenější hrozba pro macOS roku 2019, je toho dobrým příkladem. Jeho hlavní zbraní je adware – programy, které terorizují uživatele nevyžádanými reklamami. Jsou také schopné zachytávat a shromažďovat vyhledávané informace, na jejichž základě upravují výsledky vyhledávání tak, aby mohly zobrazovat ještě více reklamních sdělení.
Podíl Shlayeru mezi hrozbami zaměřenými na zařízení macOS, která byla mezi lednem a listopadem 2019 chráněna produkty Kaspersky, dosáhl 29,28 %. Téměř všechny další hrozby v top 10 hrozbách pro macOS jsou adwary, které Shlayer instaluje: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit a AdWare.OSX.Cimpli. Od té doby, co byl Shlayer poprvé detekován, se jen minimálně změnil jeho algoritmus odpovědný za infekci, zatímco jeho aktivita zůstala nezměněná.

Top 10 hrozeb zaměřených na macOS podle podílu napadených uživatelů využívajících produkty Kaspersky
(leden–listopad 2019):

1. HEUR:Trojan-Downloader.OSX.Shlayer.a 29.28%
2. not-a-virus:HEUR:AdWare.OSX.Bnodlero.q 13.46%
3. not-a-virus:HEUR:AdWare.OSX.Spc.a 10.20%
4. not-a-virus:HEUR:AdWare.OSX.Pirrit.p 8.29%
5. not-a-virus:HEUR:AdWare.OSX.Pirrit.j 7.98%
6. not-a-virus:AdWare.OSX.Geonei.ap 7.54%
7. not-a-virus:HEUR:AdWare.OSX.Geonei.as 7.47%
8. not-a-virus:HEUR:AdWare.OSX.Bnodlero.t 6.49%
9. not-a-virus:HEUR:AdWare.OSX.Pirrit.o 6.32%
10. not-a-virus:HEUR:AdWare.OSX.Bnodlero.x 6.19%

K infikování zařízení z pravidla dochází ve dvou fázích – nejprve si uživatel nainstaluje Shlayer a následně malware nainstaluje vybraný typ adwaru. K infikování zařízení ale dochází ve chvíli, kdy si uživatel nechtěně stáhne škodlivý program. Aby toho útočníci dosáhli, vytvořili distribuční systém s řadou kanálů, které navádějí uživatele ke stažení malwaru.

Kyberzločinci nabízejí Shlayer jako způsob zpeněžení webu v řadě partnerských programů s relativně vysokou platbou za každou instalaci provedenou americkými uživateli. Celé schéma funguje takto: uživatel na internetu vyhledává epizodu televizního seriálu nebo fotbalový zápas. Reklamní cílová stránka ho přesměruje na falešné stránky s aktualizacemi Flash Player. Odtud si oběť stáhne malware. Partner, který je odpovědný za distribuci odkazu se škodlivým programem, je odměněn platbou za každou zprostředkovanou instalaci. V řadě případů byly na škodlivé stránky s falešnou Adobe Flash aktualizací uživatelé přesměrováni také ze stránek jako je YouTube nebo Wikipedie. Na video portálu byly škodlivé odkazy uvedeny v popisku videí, v internetové encyklopedii byly odkazy skryty ve zdrojích jednotlivých článků.

Téměř všechny stránky, které vedly k falešné Flash Player aktualizaci, měly obsah v angličtině. Tomu odpovídá i zastoupení států s nejvyšším počtem napadených uživatelů: USA (31 %), Německo (14 %), Francie (10 %) a Velká Británie (10 %).

Řešení Kaspersky detekují Shlayer a s ním spojené objekty jako:

HEUR:Trojan-Downloader.OSX.Shlayer.
not-a-virus:HEUR:AdWare.OSX.Cimpli.
not-a-virus:AdWare.Script.SearchExt.
not-a-virus:AdWare.Python.CimpliAds.
not-a-virus:HEUR:AdWare.Script.MacGenerator.gen

Aby uživatelé macOS minimalizovali riziko útoku touto malwarovou rodinou, doporučují odborníci z Kaspersky následující opatření:

• Programy a aktualizace instalujte pouze z důvěryhodných zdrojů
• Zjistěte si více informací o stránce se zábavným obsahem – jakou má pověst a co na ni říkají ostatní uživatelé
• Používejte na svých zařízeních účinné bezpečnostní řešení