Malware que afecta a millones de usuarios de Mac y oculto en imágenes publicitarias.

Los investigadores de Confiant y Malwarebytes dijeron que los ataques comenzaron el 11 de enero, utilizando la publicidad en línea y la esteganografía para propagarse; la esteganografía es una forma de esconderse en textos o imágenes aparentemente inofensivos. La tecnología de información privada, código o información. En el último año, esta estrategia se ha utilizado en varios ataques, incluida la carga de imágenes malintencionadas en los sitios de confianza de Google, e incluso se oculta en los emoticones que circulan en Twitter.

En este ataque a los usuarios de Mac, la víctima primero verá una imagen en forma de imagen, pero estas imágenes realmente contienen el código del malware de JavaScript. Una vez que se haga clic, el usuario se infectará con el troyano Shlayer, que pretende ser una actualización de Flash y luego redirige a la víctima al instalador de adware.

Jerome Segura, jefe de inteligencia de amenazas de Malwarebytes, dijo en una entrevista con el Security Post:

Este tipo de malware se puede considerar como un troyano (puede disfrazarse como un reproductor de Flash para la actualización), o como un dropper para otras cargas útiles, especialmente adware. Como resultado, los usuarios finales pueden notar que sus máquinas son más lentas de lo normal y pueden ser engañadas para que compren aplicaciones que no necesitan.

Los investigadores dicen que hasta el momento, han descubierto más de 190,000 anuncios maliciosos, y se estima que un millón de usuarios se han visto afectados. Según Confiant, la cantidad de daños solo el 11 de enero superó los $ 1.2 millones.

En una publicación el miércoles que los investigadores detallaron el evento, los investigadores dijeron:

Resulta que los piratas informáticos han estado activos durante meses, pero hasta hace poco, comenzaron a ocultar malware en anuncios gráficos a través de la esteganografía a través de la codificación de imágenes.

Malware Shlayer

En febrero de 2018, los investigadores de Intego descubrieron el malware Shlayer, que se propaga a través del sitio de intercambio de archivos bt. El sitio de Torrent ha sido tradicionalmente el área más afectada por malware y adware.

Los investigadores de Intego analizaron los detalles del malware y dijeron que el componente de infección del troyano original de OSX / Shlayer (el falso instalador de Flash Player) usaba scripts de shell para descargar malware o adware adicionales al sistema infectado.

Los investigadores confiados dijeron que debido a que el troyano pretendía ser una actualización de Flash, la víctima no sabía su intención de ataque. Los usuarios infectados se ven obligados a redirigir a un instalador, y este ataque es específicamente para usuarios que usan Safari.

Eliya Stein, ingeniera de seguridad de Confiant, dijo que el ataque aún está en curso y que el agente malicioso rotará periódicamente su carga útil y su dominio.

Publicidad Trojan Evolution

Stein dijo que además de los investigadores que apuntan al dominio de servicio de un servidor (veryield-malyst [.] Com), poco se sabe sobre la información detrás del atacante.

El equipo de investigación de Confiant y Malwarebytes dijo que este último ataque publicitario malintencionado demuestra cómo este tipo de estrategia continúa evolucionando, ya que los actores de amenazas quieren propagar malware a gran escala, mientras esperan utilizar cierta confusión. Ocultar malware. Y a medida que la tecnología de detección de vulnerabilidad madura, los atacantes sofisticados comienzan a darse cuenta de que los métodos obvios de ofuscación ya no pueden hacer el trabajo. La salida de un ofuscador común de JavaScript es un código confuso muy especial que se reconoce fácilmente a simple vista. Esta estrategia es muy útil para ocultar cargas útiles, sin depender de cadenas codificadas en hexadecimal o tablas de búsqueda grandes.