Edmund Richardson
0 
4366
893
Poznaj Kyle'a i Stana. Nie, nie mówię o duecie z South Park, ale o najnowszej sieci malvertisingowej z piekła rodem. To genialne. To szkodliwe. I zagraża zarówno użytkownikom komputerów Mac, jak i Windows.
Malvertising to portrety „złośliwego oprogramowania” i „reklamy”. Sposób działania jest prosty. Po pierwsze, wykorzystywane są legalne kanały reklamowe online, aby zmusić przeglądarki do pobierania złośliwego oprogramowania. Co ciekawe, ofiary nie muszą nawet znajdować się na podejrzanej stronie internetowej. Te złośliwe reklamy były nawet wyświetlane za pośrednictwem takich nieszkodliwych witryn, takich jak Amazon.com, Apple.com i ads.yahoo.com.
Kyle i Stan wykorzystują socjotechnikę, aby pompować komputer pełen niechcianego i nieprzyjemnego złośliwego oprogramowania. Ciekawy, jak możesz walczyć? Czytaj.
Jak działa atak
Atak zależy od wielu rzeczy. Pierwszy to jakoś przekonanie tradycyjnej (i legalnej) sieci reklamowej - takiej jak DoubleClick, Google - do uruchomienia reklamy zawierającej złośliwy kod. Chociaż sieć reklamowa nie wykryła tej reklamy, jest następnie kaskadowo przenoszona na inne legalne strony, które następnie uruchamiane są w przeglądarce, a następnie przekierowują użytkowników na strony zawierające złośliwe oprogramowanie.
Szkodnik określa również, z jakiego systemu operacyjnego i przeglądarek korzysta, sprawdzając ciąg użytkownika-klienta, który zawiera wiele informacji na temat konfiguracji komputera. Zawiera wszystko - od rozdzielczości ekranu po wtyczki działające w przeglądarce.
Gdy złośliwe oprogramowanie określi system operacyjny użytkownika, podejmuje decyzję, gdzie przekierować przeglądarkę. Użytkownicy komputerów Mac są wysyłani do witryn, które zawierają złośliwe oprogramowanie specyficzne dla systemu OS X i są pakowane jako DMG, natomiast użytkownicy systemu Windows są wysyłani do witryn, które służą do złośliwego oprogramowania Windows jako plików wykonywalnych.
Twoja przeglądarka automatycznie pobierze złośliwe oprogramowanie. Zgłoszono, że jest to pakiet legalnego oprogramowania - zazwyczaj odtwarzacza multimedialnego - oprócz kilku pakietów złośliwego oprogramowania i pliku konfiguracyjnego specyficznego dla użytkownika.
Jak zauważył post na blogu Cisco, który początkowo zidentyfikował szkodliwe oprogramowanie, ciekawą rzeczą w „Kyle and Stan” jest to, że atakuje również użytkowników komputerów Mac. Są to użytkownicy, którzy tradycyjnie nie musieli radzić sobie z zagrożeniami bezpieczeństwa nieodłącznie związanymi z Microsoft Windows, w wyniku czego mogą być bardziej narażeni na społeczny aspekt ataku.
Szkodliwe oprogramowanie obsługiwane przez Kyle'a i Stana zasadniczo różni się sposobem działania i sposobem ich usuwania dla każdej docelowej platformy. Ciekawy? Czytaj.
Złośliwe oprogramowanie Windows
Szkodliwe oprogramowanie dla systemu Windows to 32-bitowa aplikacja dla systemu Windows napisana w języku C ++. Po uruchomieniu instaluje kilka szkodliwych programów, a także NewPlayer. Przebiega to pod postacią odtwarzacza multimedialnego, który jest uzasadnionym aspektem, który ukrywa inne, mniej niż legalne działania. Mianowicie, przechwytuje Internet Explorera, Google Chrome i Firefoksa oraz wyświetla niechciane reklamy i wyskakujące okienka, a także przechwytuje ruch związany z wyszukiwaniem.
Szkodliwe oprogramowanie Windows obsługiwane przez Kyle'a i Stana zaciemnia swoją działalność za pomocą czegoś o nazwie Dynamic Forking. Działa to poprzez przejmowanie legalnych procesów i zastępowanie ich innymi działaniami. Pozwala to złośliwemu oprogramowaniu ominąć funkcje bezpieczeństwa systemu Windows i pozwala mu instalować nowe złośliwe oprogramowanie bez podejrzeń. Bardziej szczegółowe wyjaśnienie tego, jak to działa, można znaleźć na blogu Cisco.
Dynamiczne rozwidlenie jest niezwykle trudne do pokonania. Pokazuje także ekstremalny poziom zaawansowania tego konkretnego złośliwego oprogramowania. Ale co z jego usunięciem? Pozbycie się NewPlayer jest dobrze udokumentowanym, dobrze zrozumiałym procesem. Jednak, jak wspomniano wcześniej, instaluje (i może instalować) inne dowolne pakiety. W związku z tym zalecamy zaktualizowaną i aktualną instalację programu antywirusowego. Jest to w pełni udokumentowane w naszym Przewodniku usuwania złośliwego oprogramowania.
Złośliwe oprogramowanie dla komputerów Mac
Ale co ze złośliwym oprogramowaniem dla komputerów Mac? Gdy komputer Mac odwiedza witrynę z reklamą Kyle and Stan, automatycznie pobierane jest oprogramowanie DMG. Wewnątrz znajduje się kopia MPlayerX, legalnego odtwarzacza multimedialnego, który został sprawdzony w zeszłym roku przez mojego kolegę, Dave'a LeClaira.
Jest on dostarczany w pakiecie z dwoma niesprawnymi szkodliwymi programami. Oba są porywaczami przeglądarki: Conduit i VSearch. Conduit ma okleinę legalności - jest tworzony przez prawdziwą firmę z pracownikami, biurami i adresami korespondencyjnymi - a użytkownik ma możliwość zrezygnowania z instalacji tego konkretnego porywacza przeglądarki. Jednak nie ma takiej opcji dla VSearch.
Zachowanie VSearch jest spójne z większością porywaczy przeglądarki. Ruch związany z wyszukiwaniem jest przekierowywany przez ich własne portale, na których wyświetlane są własne reklamy, a reklamy wyskakujące są okresowo uruchamiane. To denerwujące i nachalne. Co ważniejsze, stanowi zagrożenie dla Twojej prywatności. VSearch rozpoczyna się również w czasie wykonywania, ponieważ program uruchamiający jest dodawany do Launctl po zainstalowaniu.
Usunięcie go jest jednak stosunkowo łatwe. Po prostu upuść następujące elementy do kosza:
/ Library / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Co możesz zrobić?
Pokonanie Kyle'a i Stana jest łatwe. Musisz tylko być niesamowicie czujny. Czy Twój komputer automatycznie pobrał plik wykonywalny, którego się nie spodziewałeś? Czy to wygląda podejrzanie? Czy zostałeś przekierowany na stronę pobierania nieznanego Ci oprogramowania? Są to wszystkie powody do niepokoju.
Zachęcam również do posiadania nowoczesnego, zaktualizowanego programu antywirusowego działającego w systemie. Dotyczy to również użytkowników komputerów Mac. Bardzo lubię program antywirusowy Sophos OS X..
Czy zostałeś trafiony przez Kyle'a i Stana? Daj mi znać. Pole komentarzy znajduje się poniżej.
Zdjęcie: Cisco