Faceți cunoștință cu Kyle și Stan, un nou coșmar malware
Faceți cunoștință cu Kyle și Stan. Nu, nu vorbesc despre duo-ul de la ospitalitate din South Park, ci mai degrabă cea mai recentă rețea Malvertising din iad. E ingenios. E periculos. Și amenință atât utilizatorii Mac, cât și utilizatorii Windows.
Malvertising este un portmanteau de "malware" și "publicitate". Modul în care funcționează este simplu. În primul rând, sunt utilizate canale legitime de publicitate online pentru a forța browserele să descarce software rău intenționat. Din nefericire, victimele nu trebuie nici măcar să fie pe un site suspect. Aceste anunțuri rău intenționate au fost chiar difuzate prin intermediul unor site-uri inofensive precum Amazon.com, Apple.com și ads.yahoo.com.
Kyle și Stan profită de ingineria socială pentru a pompa computerul plin de malware nedorit și neplăcut. Curios cum să te poți lupta? Citește mai departe.
Cum funcționează atacul
Atacul este condiționat de mai multe lucruri. Prima este oarecum convingătoare o rețea tradițională (și legitimă) de publicitate - cum ar fi DoubleClick, de la Google - pentru a rula un anunț care conține cod rău intenționat. Deși nu este detectată de rețeaua publicitară, anunțul este apoi cascadat pe alte site-uri legitime, care apoi se execută în browser și redirecționează utilizatorii către site-uri care oferă servicii rău intenționate.
De asemenea, malware-ul determină ce sistem de operare și browsere sunt utilizate prin examinarea șirului de utilizator-agent, care conține o mulțime de informații despre configurația computerului. Aceasta conține totul, de la rezoluția ecranului, la pluginurile care rulează în browser.
Odată ce malware-ul a determinat sistemul de operare al utilizatorului, acesta decide apoi unde să redirecționeze browserul. Utilizatorii de Mac sunt trimise pe site-uri care difuzează malware specific pentru OS X și sunt incluse ca DMG, în timp ce utilizatorii de Windows sunt trimise pe site-uri care difuzează malware-ul Windows drept fișiere executabile.
Browserul dvs. va descărca automat un program malware. Acest lucru este raportat a fi un pachet de software legitim - în general un media player - în plus față de mai multe pachete malware și un fișier de configurare care este specific pentru utilizator.
Pe măsură ce postarea de pe blogul Cisco, care a identificat inițial malware-ul remarcat, interesant despre "Kyle and Stan" este că atacă și utilizatorii Mac. Aceștia sunt utilizatorii care, în mod tradițional, nu au fost nevoiți să se ocupe de riscurile de securitate care sunt inerente în Microsoft Windows și, ca rezultat, pot fi mai vulnerabile la aspectul social al atacului.
Malware-ul oferit de Kyle și Stan diferă fundamental în modul în care operează și cum sunt eliminate pentru fiecare platformă vizată. Curios? Citește mai departe.
Malware-ul Windows
Malware-ul Windows este o aplicație Windows pe 32 de biți scrisă în C ++. La executare se instalează mai multe fragmente de malware, precum și NewPlayer. Acest lucru este deghizat ca un media player, care este aspectul legitim care ascunde alte activități mai puțin decât legitime. Anume, acesta hijacks Internet Explorer, Google Chrome și Firefox și servește reclame nedorite și pop-up-uri, și deturnează traficul de căutare.
Malware-ul de Windows, deservit de Kyle și Stan, își obfuscă activitatea cu ceva numit Dynamic Forking. Aceasta funcționează prin deturnarea proceselor legitime și le înlocuiește cu alte activități. Acest lucru permite malware-ului să ocolească caracteristicile de securitate Windows și îi permite să instaleze noi programe rău intenționate fără a crea suspiciuni. O explicație mai detaliată a modului în care funcționează poate fi găsită pe postul de blog Cisco.
Funcționarea dinamică este incredibil de dificilă pentru a atenua. Acesta arată, de asemenea, nivelul extrem de sofisticare a acestui malware particular. Dar cum să-l eliminați? Păstrarea lui NewPlayer este un proces bine documentat și bine înțeles. Cu toate acestea, după cum sa menționat anterior, acesta instalează (și poate instala) alte pachete arbitrare. Ca urmare, vi se recomandă să aveți o instalare antivirus actualizată și actuală. Acest lucru este documentat pe deplin în Ghidul nostru de eliminare a programelor malware.
Malware-ul Mac
Dar cum ar fi malware-ul Mac? Când un Mac vizitează un site care rulează un anunț Kyle and Stan, un DMG este descărcat automat. Inside este o copie a MPlayerX, un player media legitim care a fost revizuit anul trecut de colegul meu, Dave LeClair.
Acesta vine însoțit de două fragmente de malware mai puțin decât legitime. Ambele sunt atacatorii de browser: Conduit și VSearch. Conduit are un aspect de legitimitate - este creat de o companie actuală cu angajați, birouri și adrese de corespondență - iar utilizatorul are opțiunea de a renunța la instalarea acestui anumit hijacker al browserului. Totuși, nu există o astfel de opțiune pentru VSearch.
Comportamentul VSearch este compatibil cu cei mai mulți atacatori ai browserului. Traficul de căutare este redirecționat prin propriile portaluri care au anunțuri proprii stropite și anunțurile pop-up sunt lansate periodic. Este enervant și intruziv. Și, mai important, este o amenințare pentru intimitatea ta. VSearch începe, de asemenea, la runtime, ca un lansator este adăugat la launchctl o dată instalat.
Eliminarea este relativ ușor deși. Puneți doar următoarele elemente în coșul de gunoi:
/ Bibliotecă / Suport pentru aplicații / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Bibliotecă / LaunchDaemons / Jack. plist / Bibliotecă / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Ce poti face?
Învinge Kyle și Stan este ușor. Trebuie doar să fii incredibil de vigilent. A descărcat automat un executabil pe care nu l-ați așteptat? Arată pește? Ați fost redirecționat (ă) la pagina de descărcare a unei piese de software cu care nu sunteți familiarizat (ă)? Acestea sunt toate motivele pentru a fi preocupat.
De asemenea, vă încurajez să aveți și un antivirus modern și actualizat care rulează pe sistemul dvs. Acest lucru este valabil și pentru utilizatorii de Mac. Îmi place foarte mult antivirusul Sophos OS X.
Ai fost lovit de Kyle și Stan? Dați-mi voie să știu despre asta. Caseta cu comentarii este mai jos.
Credit de imagine: Cisco
Explorați mai multe despre: Anti-Malware, Malvertising.