Incontra Kyle And Stan, un nuovo incubo malvertising
Incontra Kyle e Stan. No, non sto parlando del duo dalla bocca piena di South Park, ma piuttosto dell'ultima rete Malvertising dall'inferno. È geniale. È pernicioso. E minaccia sia gli utenti Mac che Windows.
Il malvertising è un portmanteau di "malware" e "pubblicità". Il modo in cui funziona è semplice. In primo luogo, i canali di pubblicità online legittimi vengono utilizzati per costringere i browser a scaricare software dannoso. Purtroppo, le vittime non hanno nemmeno bisogno di essere su un sito web sospetto. Queste pubblicità maligne sono state persino pubblicate attraverso siti Web innocui come Amazon.com, Apple.com e ads.yahoo.com.
Kyle e Stan si avvalgono dell'ingegneria sociale per pompare il tuo computer pieno di malware indesiderato e sgradevole. Sei curioso di sapere come puoi combattere? Continuare a leggere.
Come funziona l'attacco
L'attacco è condizionato da un numero di cose. Il primo è in qualche modo convincere una rete pubblicitaria tradizionale (e legittima) - come DoubleClick, di Google - per pubblicare un annuncio che contiene codice dannoso. Anche se non viene rilevato dalla rete pubblicitaria, questo annuncio viene quindi trasferito su altri siti legittimi, che vengono quindi eseguiti nel browser e quindi reindirizzano gli utenti verso siti che offrono software dannoso.
Il malware determina anche quale sistema operativo e browser vengono utilizzati esaminando la stringa user-agent, che contiene una grande quantità di informazioni sulla configurazione del computer. Questo contiene tutto, dalla risoluzione dello schermo, ai plugin che sono in esecuzione sul browser.
Una volta che il malware ha determinato il sistema operativo dell'utente, prende quindi una decisione su dove reindirizzare il browser. Gli utenti Mac vengono inviati a siti che forniscono malware specifico per OS X e sono raggruppati come DMG, mentre gli utenti Windows vengono inviati a siti che forniscono malware di Windows come file eseguibili.
Il tuo browser scaricherà automaticamente il malware. Questo è segnalato come un insieme di software legittimo, in genere un lettore multimediale, oltre a diversi pacchetti di malware e un file di configurazione specifico per l'utente.
Come il post del blog Cisco che inizialmente identificava il malware, la cosa interessante di "Kyle and Stan" è che attacca anche gli utenti Mac. Si tratta di utenti che tradizionalmente non hanno avuto a che fare con i rischi per la sicurezza intrinseci in Microsoft Windows e, di conseguenza, potrebbero essere più vulnerabili all'aspetto sociale dell'attacco.
Il malware servito da Kyle e Stan è fondamentalmente diverso nel modo in cui operano e in che modo vengono rimossi per ciascuna piattaforma targetizzata. Curioso? Continuare a leggere.
Il malware di Windows
Il malware di Windows è un'app di Windows a 32 bit scritta in C ++. Al momento dell'esecuzione installa diversi pezzi di malware, oltre a NewPlayer. Questo viene travestito da lettore multimediale, che è il lato legittimo che nasconde altre attività non legittime. Vale a dire, dirotta Internet Explorer, Google Chrome e Firefox e serve pubblicità e popup indesiderati, e dirotta il traffico di ricerca.
Il malware di Windows servito da Kyle e Stan nasconde la sua attività con qualcosa chiamato Dynamic Forking. Questo funziona dirottando processi legittimi e li sostituisce con altre attività. Ciò consente al malware di aggirare le funzionalità di sicurezza di Windows e consente di installare nuovi software dannosi senza destare sospetti. Una spiegazione più dettagliata di come funziona può essere trovata sul post del blog Cisco.
Dynamic Forking è incredibilmente difficile da mitigare. Mostra anche l'estremo livello di sofisticazione di questo particolare malware. Ma che ne dici di rimuoverlo? Bene, sbarazzarsi di NewPlayer è un processo ben documentato e ben compreso. Tuttavia, come accennato in precedenza, questo installa (e può installare) altri pacchetti arbitrari. Di conseguenza, si consiglia di avere un'installazione antivirus aggiornata e corrente. Questo è documentato completamente nella nostra Guida alla rimozione di malware.
Il malware Mac
Ma per quanto riguarda il malware Mac? Quando un Mac visita un sito che pubblica un annuncio di Kyle e Stan, un DMG viene scaricato automaticamente. All'interno c'è una copia di MPlayerX, un lettore multimediale legittimo che è stato rivisto l'anno scorso dal mio collega, Dave LeClair.
Questo viene fornito in bundle con due pezzi di malware non-legit. Entrambi sono browser hijacker: Conduit e VSearch. Conduit ha un aspetto di legittimità - è creato da una società reale con dipendenti, uffici e indirizzi postali - e l'utente ha la possibilità di disattivare l'installazione di questo particolare dirottatore del browser. Tuttavia, non esiste una tale opzione per VSearch.
Il comportamento di VSearch è coerente con la maggior parte dei browser hijacker. Il traffico di ricerca viene reindirizzato attraverso i propri portali su cui sono sparpagliati i propri annunci pubblicitari e vengono lanciati periodicamente annunci pubblicitari. È fastidioso e invadente. E ancora più importante, è una minaccia alla tua privacy. VSearch si avvia anche in fase di runtime, quando un programma di avvio viene aggiunto a launchctl dopo l'installazione.
Rimozione è relativamente facile però. Lascia cadere i seguenti oggetti nel cestino:
/ Libreria / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Cosa sai fare?
Sconfiggere Kyle e Stan è facile. Devi solo essere incredibilmente vigile. Il tuo computer ha scaricato automaticamente un eseguibile che non ti aspettavi? Sembra strano? Sei stato reindirizzato alla pagina di download di un software che non ti è familiare? Questi sono tutti motivi per essere preoccupati.
Ti incoraggerei anche a installare un antivirus moderno e aggiornato sul tuo sistema. Questo vale anche per gli utenti Mac. Sono abbastanza affezionato all'antivirus di Sophos OS X.
Sei stato colpito da Kyle e Stan? Fammi sapere. La casella dei commenti è sotto.
Immagine di credito: Cisco
Scopri di più su: Anti-Malware, Malvertising.