Shlayer usa sites legítimos para infectar usuários de macOS

Distribuição geográfica das vítimas do Shlayer entre fevereiro de 2018 e outubro de 2019
Levantamento da Kaspersky mostra que o trojan Shlayer tentou atacar, em 2019, pelo menos um em cada dez dispositivos que tinham uma das soluções da empresa instaladas – o que faz com que ela seja a ameaça mais comum contra usuários de macOS. Com uma disseminação inteligente, este malware usa rede de parceiros, sites de entretenimento e até a Wikipedia para se propagar. Isso mostra que até mesmo internautas que apenas acessam sites legítimos correm o risco de serem infectados e precisam de proteção adicional.
O macOS tem a fama de ser seguro, mas a realidade é que ele é apenas um sistema mais difícil de ser atacado – porém há cibercriminosos que tentam tirar vantagem de seus usuários. De acordo com as estatísticas da Kaspersky, o Shlayer foi a ameaça para macOS mais difundida em 2019 e é o principal exemplo de que há ameaças visando este tipo de usuário. Este trojan instala adware que mostra anúncios ilícitos para o usuário, chegando a incomodá-lo, e também pode interceptar e coletar as atividades do usuário realizadas no navegador e redirecionar os resultados de buscas para mostrar mais anúncios de publicidade.
O Shlayer correspondeu a quase um terço de todos os ataques contra dispositivos macOS registrada pelos produtos da Kaspersky no período de janeiro a novembro de 2019. Inclusive, quase todos os adwares instalados por ele figuram também na lista das dez maiores ameaças para macOS. São eles: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit e AdWare.OSX.Cimpli. Além disso, desde que o Shlayer foi detectado, seu algoritmo de infecção mudou muito pouco e sua atividade quase não sofreu alteração, e é isso que o torna uma ameaça relevante contra os usuários do sistema operacional.

Dez maiores ameaças para macOS por usuário com tentativa de ataque entre janeiro e novembro de 2019
Em geral, o processo de infecção consiste em duas fases: a infecção pelo Shlayer e a instalação pelo malware de um tipo específico de adware. Porém, a infecção do dispositivo começa quando um usuário baixa o malware involuntariamente. Para isso, o cibercriminoso que criou o Shlayer estabelece um sistema de distribuição com vários canais para fazer com que os usuários baixem o malware.
O Shlayer é oferecido a outros criminosos por meio de um programa de afiliados que paga um valor alto por cada instalação do malware realizada. Isto fez com que mais de 1.000 sites afiliados passassem a distribuir o Shlayer. Já a infecção ocorre quando o usuário faz uma busca – por exemplo um episódio de uma série de TV ou jogo de futebol – e a página que recebe a visita do internauta o redireciona antes para uma atualização do Flash Player. Caso a pessoa aceite, ela é infectada e o parceiro que fez o redirecionamento recebe o pagamento pela instalação.

                                                                    Exemplo de página do Shlayer
Outros esquemas utilizam diversos serviços online e que recebem milhares de usuários, como o YouTube ou Wikipédia. No primeiro, são adicionados links maliciosos nas descrições dos vídeos e, no segundo, os links ficam escondidos nas referências do artigo, mas ambos direcionam o internauta desavisado para a mesma página falsa de atualização do Adobe Flash. Os especialistas da Kaspersky descobriram 700 domínios com conteúdos maliciosos, sendo que alguns deles estavam publicados em diversos sites legítimos.
                                      Vídeo do YouTube e página da Wikipedia com links maliciosos na descrição
Quase todos os sites que levam ao Flash Player falso mostravam o conteúdo em inglês. Isso corresponde aos principais países em que os usuários foram afetados pelo Shlayer: EUA (31%), Alemanha (14%), França (10%) e
“A plataforma macOS é uma ótima fonte de receita para os cibercriminosos, que buscam continuamente novas maneiras de enganar os usuários e usam ativamente técnicas de engenharia social para disseminar malware. Esse caso demonstra que essas ameaças são encontradas até em sites legítimos. Felizmente para os usuários do macOS, as ameaças mais comuns que visam este sistema hoje giram em torno da apresentação de publicidade ilícita e não envolvem algo mais perigoso, como o roubo de dados financeiros. Uma boa solução de segurança é capaz de protegê-los destas ameaças, tornando a experiência segura e agradável”, afirma Anton Ivanov, analista de segurança da Kaspersky.
As soluções da Kaspersky detectam o Shlayer e os adware baixados por ele com os seguintes vereditos:
HEUR:Trojan-Downloader.OSX.Shlayer.*
not-a-virus:HEUR:AdWare.OSX.Cimpli.*
not-a-virus:AdWare.Script.SearchExt.*
not-a-virus:AdWare.Python.CimpliAds.*
not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Para evitar ser infectado pelo Shlayer, a Kaspersky recomenda:
• Instale programas e atualizações somente de fontes confiáveis.
• Procure mais informações sobre o site de entretenimento que você pretende acessar. Pesquise sua reputação na internet e tente conseguir algum feedback sobre ele.
• Use uma solução de segurança confiável, como o Kaspersky Security Cloud , que oferece proteção avançada para Macs, bem como para PCs e dispositivos móveis.
Para mais detalhes sobre o Shlayer, ou outras descobertas da Kaspersky, acesso Securelist.com .
Serviço
http://www.kaspersky.com.br