Специалисты «Лаборатории Касперского» рассказали, что в 2019 году самой распространенной угрозой для пользователей macOS как в мире (10% пользователей), так и в России (12% пользователей) стал троян Shlayer, специализирующийся на установке рекламного ПО.
Shlayer уже без малого два года является самой распространенной угрозой для macOS: в 2019 году каждый десятый пользователь защитных решений компании сталкивался с этой малварью хотя бы раз, а его доля по отношению ко всем детектам на данной ОС составляет практически 30%. Первые экземпляры семейства попали в руки исследователей еще в феврале 2018 года, и на данный момент было собрано почти 32 000 различных вредоносных образцов трояна, а также выявлено 143 домена управляющих серверов.
Распространяется троян под видом обновлений для Adobe Flash Player. Чаще всего он пытался проникнуть на устройства с сайтов, которые реализуют схему с так называемой рекламной партнерской программой. В рамках такой программы при скачивании нужного файла пользователю на устройство без его ведома может быть установлено все что угодно, включая различное нежелательное ПО. Также Shlayer встречается на порталах для просмотра и скачивания развлекательного контента. На страницы, где он содержится, пользователи могут попасть в том числе и из крупных сервисов. Так, в YouTube ссылки на малварь прячутся в описаниях к видеороликам, а в Wikipedia – в тексте статей.
Больше всего атак Shlayer приходится на пользователей США — 31%, далее идет Германия — 14%, по 10% атакованных пришлось на Францию и Великобританию. Это вполне соотносится с условиями партнерских программ, поставляющих малварь, а также с тем фактом, что практически все сайты, которые ведут на страницы с поддельным Flash-плеером, содержали англоязычный контент.
Чаще всего трояны семейства Shlayer загружают и устанавливают на устройство пользователя различные рекламные приложения. Кроме того, их функциональность теоретически позволяет скачивать программы, которые не просто заваливают пользователей рекламой, но и самопроизвольно открывают рекламные страницы в браузерах и подменяют результаты поиска, чтобы загружать еще больше рекламных сообщений.
Интересно, что с момента первого обнаружения Shlayer алгоритм его работы практически не изменился, а активность почти не уменьшилась: количество детектов на данный момент остается на том же уровне, что и в первые месяцы после обнаружения вредоноса.
«Вопреки распространенному заблуждению об абсолютной защищенности платформы macOS, злоумышленники активно атакуют ее пользователей, используя для распространения вредоносного ПО техники социальной инженерии. Угрозы таятся в том числе на крупных сайтах, внушающих доверие. На данный момент конечной целью атак троянца Shlayer на владельцев Mac в основном является агрессивный показ рекламы, но это не значит, что злоумышленники на этом и остановятся», — говорит Антон Иванов, антивирусный эксперт «Лаборатории Касперского».
