Peter Holmes
0 
4171
1075
Seznamte se s Kyleem a Stanem. Ne, nemluvím o nočním duu z South Parku, ale spíše o nejnovější síti Malvertising z pekla. Je to geniální. Je to škodlivé. A to ohrožuje uživatele Mac i Windows.
Malvertising je portmanteauem „malwaru“ a „reklamy“. Způsob, jakým to funguje, je jednoduchý. Zaprvé se používají legitimní online reklamní kanály, aby si prohlížeč přinutil stáhnout škodlivý software. Oběti nepochybně nemusí být ani na podezřelém webu. Tyto škodlivé reklamy byly dokonce zobrazovány prostřednictvím takových neškodných webů, jako jsou Amazon.com, Apple.com a ads.yahoo.com..
Kyle a Stan využívají sociální inženýrství k tomu, aby váš počítač vyčerpali nežádoucí a nepříjemný malware. Zajímá vás, jak se můžete bránit? Číst dál.
Jak útok funguje
Útok je závislý na mnoha věcech. První je jaksi přesvědčit tradiční (a legitimní) reklamní síť - jako je DoubleClick, Google - o spuštění reklamy, která obsahuje škodlivý kód. Ačkoli to reklamní síť nezjistí, pak je kaskádován na jiné legitimní weby, které se poté spustí v prohlížeči a poté uživatele přesměrovávají na weby obsahující škodlivý software..
Malware také určuje, jaký operační systém a prohlížeče se používají, prozkoumáním řetězce user-agent, který obsahuje velké množství informací o konfiguraci počítače. Obsahuje vše od rozlišení obrazovky po pluginy spuštěné v prohlížeči.
Jakmile malware určí operační systém uživatele, pak se rozhodne, kam přesměrovat prohlížeč. Uživatelé systému Mac jsou odesíláni na weby, které slouží malwaru, který je specifický pro OS X a je dodáván jako DMG, zatímco uživatelé systému Windows jsou odesíláni na weby, které poskytují malware Windows jako spustitelné soubory.
Prohlížeč poté malware automaticky stáhne. Toto je hlášeno jako svazek legitimního softwaru - obvykle multimediálního přehrávače - kromě několika malwarových balíčků a konfiguračního souboru, který je specifický pro uživatele.
Jak poznamenal blogový příspěvek společnosti Cisco, který zpočátku identifikoval malware, zajímavou věcí „Kyle a Stan“ je to, že také útočí na uživatele počítačů Mac. Jedná se o uživatele, kteří tradičně nemuseli řešit bezpečnostní rizika, která jsou vlastní systému Microsoft Windows, a v důsledku toho mohou být zranitelnější vůči sociálnímu aspektu útoku..
Malware, který poskytli Kyle a Stan, se zásadně liší v tom, jak fungují a jak jsou odstraněny pro každou cílenou platformu. Zvědavý? Číst dál.
Malware systému Windows
Malware systému Windows je 32bitová aplikace pro systém Windows napsaná v jazyce C ++. Po spuštění nainstaluje několik kusů malwaru a také NewPlayer. Toto je maskované jako přehrávač médií, což je legitimní aspekt, který zakrývá jiné, méně než legitimní činnosti. Konkrétně únosuje aplikace Internet Explorer, Google Chrome a Firefox a slouží k nežádoucím reklamám a vyskakovacím oknům a únosům při vyhledávání.
Malware systému Windows, který obsluhují Kyle a Stan, zamlčuje svou činnost s názvem Dynamic Forking. Funguje to únosem legitimních procesů a nahrazuje je jinou činností. To umožňuje malwaru obejít bezpečnostní funkce systému Windows a umožňuje mu nainstalovat nový škodlivý software bez podezření. Podrobnější vysvětlení toho, jak to funguje, najdete na blogovém příspěvku Cisco.
Dynamic Forking je neuvěřitelně náročné zmírnit proti. Ukazuje také extrémní úroveň sofistikovanosti tohoto konkrétního malwaru. Ale co jeho odstranění? Zbavit se NewPlayer je dobře zdokumentovaný a dobře pochopitelný proces. Jak již bylo zmíněno, nainstaluje to (a může nainstalovat) další libovolné balíčky. V důsledku toho vám doporučujeme aktualizovanou a aktuální antivirovou instalaci. To je plně zdokumentováno v Průvodci odstraňováním malwaru.
Mac Malware
Ale co malware Mac? Když Mac navštíví web, na kterém je spuštěna reklama Kyle a Stan, automaticky se stáhne DMG. Uvnitř je kopie MPlayerX, legitimního přehrávače médií, který minulý rok přezkoumal můj kolega, Dave LeClair.
Toto je dodáváno se dvěma méně než legitimními kousky malwaru. Oba jsou únosci prohlížeče: Conduit a VSearch. Conduit má dýhu legitimity - je vytvořena skutečnou společností se zaměstnanci, kancelářemi a poštovními adresami - a uživatel má možnost odhlásit se z instalace tohoto konkrétního prohlížeče únosce. Pro VSearch však taková možnost neexistuje.
Chování VSearch je konzistentní s většinou prohlížečů únosců. Návštěvnost z vyhledávání je přesměrována prostřednictvím jejich vlastních portálů, na kterých jsou zobrazeny jejich vlastní reklamy, a pravidelně se spouštějí vyskakovací reklamy. Je to nepříjemné a rušivé. A co je důležitější, je to hrozba pro vaše soukromí. VSearch se také spouští za běhu, protože po instalaci je launch launcher přidán do launchctl.
Odstranění je poměrně snadné. Stačí zahodit následující položky do koše:
/ Knihovna / Podpora aplikací / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Co můžeš udělat?
Poražení Kyle a Stan je snadné. Musíte být neuvěřitelně ostražití. Stáhl váš počítač automaticky spustitelný soubor, který jste neočekávali? Vypadá to rybí? Byli jste přesměrováni na stránku stahování softwaru, který neznáte? To jsou všechny důvody k obavám.
Také bych vás rád vyzval, abyste ve svém systému nechali běžet moderní aktualizovaný antivirový program. To platí také pro uživatele Mac. Mám docela rád antivirový systém Sophos OS X.
Byli jste zasaženi Kyleem a Stanem? Dejte mi o tom vědět. Pole s poznámkami je níže.
Image Credit: Cisco