Яромир Мико В прошлом году продукты Касперского для Mac предотвратили атаки трояна семейства Shlayer на каждое десятое устройство. Таким образом, это была самая распространенная угроза для пользователей MacOS. В основном это связано со способом распространения, при котором вредоносное ПО распространяется через партнерскую сеть, развлекательные сайты или даже Википедию. Это подтверждает тот факт, что даже пользователи, посещающие только легальные сайты, нуждаются в дополнительной защите от онлайн-угроз.
Фотогалерея
Несмотря на то, что операционная система macOS обычно считается более безопасной по сравнению с другими, существует множество киберпреступников, которые все еще пытаются ограбить ее пользователей. Shlayer — самая распространенная угроза для macOS в 2019 году — хороший тому пример, как показывает статистика Касперского. Его главное оружие — рекламное ПО — программы, которые терроризируют пользователей нежелательной рекламой. Они также способны захватывать и собирать информацию о поиске, на основе которой корректируют результаты поиска, чтобы отображать еще больше рекламных сообщений.
Доля угроз Shlayer, направленных на устройства macOS, защищенные продуктами «Лаборатории Касперского», в период с января по ноябрь 2019 года достигла 29,28%. Почти все остальные угрозы из топ-10 угроз для macOS представляют собой рекламное ПО, которое устанавливает Shlayer: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit и AdWare.OSX.Cimpli. С момента первого обнаружения Shlayer его алгоритм, ответственный за заражение, изменился лишь минимально, а его активность осталась неизменной.
| Объект | Доля взломанных пользователей |
| HEUR:Trojan-Downloader.OSX.Shlayer.a | 29.28% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.q | 13.46% |
| not-a-virus:HEUR:AdWare.OSX.Spc.a | 10.20% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.p | 8.29% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.j | 7.98% |
| не-вирус:AdWare.OSX.Geonei.ap | 7.54% |
| not-a-virus:HEUR:AdWare.OSX.Geonei.as | 7.47% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.t | 6.49% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.o | 6.32% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.x | 6.19% |
Топ-10 угроз для macOS по доле зараженных пользователей, использующих продукты «Лаборатории Касперского» (январь-ноябрь 2019 г.)
Заражение устройства происходит по правилу в два этапа – сначала пользователь устанавливает Shlayer, а затем вредоносная программа устанавливает выбранный тип рекламного ПО. Однако устройство заражается, когда пользователь случайно загружает вредоносную программу. Для этого злоумышленники создали систему распространения с несколькими каналами, которые обманом заставляют пользователей загружать вредоносное ПО.
Киберпреступники предлагают Shlayer как способ монетизации сайта в ряде партнерских программ с относительно высокой оплатой за каждую установку, сделанную пользователями из США. Вся схема работает так: пользователь ищет в Интернете серию сериала или футбольный матч. Рекламная целевая страница перенаправляет его на поддельные страницы обновления Flash Player. Оттуда жертва загружает вредоносное ПО. Партнер, ответственный за распространение ссылки на вредоносное ПО, получает вознаграждение за каждую осуществленную установку. Во многих случаях пользователи также перенаправлялись на вредоносные страницы с поддельным обновлением Adobe Flash с таких сайтов, как YouTube или Википедия. На видеопортале вредоносные ссылки были указаны в описании видеороликов, в Интернет-энциклопедии ссылки были спрятаны в источниках отдельных статей.
Почти все сайты, которые привели к фейковому обновлению Flash Player, имели контент на английском языке. Это соответствует представительству стран с наибольшим количеством атакованных пользователей: США (31%), Германии (14%), Франции (10%) и Великобритании (10%).
Решения «Лаборатории Касперского» обнаруживают Shlayer и связанные с ним объекты, такие как:
- HEUR:Trojan-Downloader.OSX.Shlayer.*
- not-a-virus:HEUR:AdWare.OSX.Cimpli.*
- не-вирус:AdWare.Script.SearchExt.*
- не-вирус:AdWare.Python.CimpliAds.*
- not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Чтобы пользователи macOS минимизировали риск атаки со стороны этого семейства вредоносных программ, эксперты «Лаборатории Касперского» рекомендуют следующие меры:
- Устанавливайте программы и обновления только из надежных источников.
- Узнайте больше о развлекательном сайте — какова его репутация и что о нем говорят другие пользователи
- Используйте эффективные решения безопасности на своих устройствах
