影响百万Mac用户、隐藏在广告图像中的恶意软件

Change Web安全 2019年1月29日发布
Favorite收藏

导语:近日研究人员观测到,有一场大规模的广告软件活动,迄今为止已经影响了多达100万的Mac用户,该攻击使用了一种巧妙的隐写技术,将恶意软件隐藏在图像文件中。

近日研究人员观测到,有一场大规模的广告软件活动,迄今为止已经影响了多达100万的Mac用户,该攻击使用了一种巧妙的隐写技术,将恶意软件隐藏在图像文件中。

Confiant和Malwarebytes公司的研究人员表示,这些攻击从1月11日起就开始了,利用网络上的广告和隐写术进行传播;隐写术是一种在看似无害的文本或图像中隐藏私密信息、代码或信息的技术。在过去的一年里,这一策略已经在多个攻击行动中使用,包括在谷歌可信任站点上传恶意图片,甚至隐藏在Twitter上流传的表情包中。

在此次针对Mac用户的攻击中,受害者首先会看到一个以图像形式呈现的广告,然而这些图像实际上包含了JavaScript恶意软件的代码。一旦点击,用户就会感染上Shlayer木马,Shlayer木马会伪装成Flash升级,然后将受害者重定向到广告软件安装程序。

Malwarebytes公司的威胁情报主管Jerome Segura在接受《安全邮报》的采访时表示:

这种恶意软件既可视作木马(能伪装成Flash播放器进行更新),也可以视作其他payload的dropper,尤其是广告软件。因此,终端用户可能会注意到他们的机器运行得比正常情况下慢,也可能会被骗去购买他们不需要的应用程序。

研究人员表示,到目前为止,他们已经发现了超过19万个恶意广告,估计大约有100万用户受到了影响。据Confiant估计,仅1月11日的受损金额就超过了120万美元。

研究人员在周三发布的一篇详细介绍该活动的帖子中表示:

事实证明,黑客已经活跃了数月,但直到最近,他们才开始通过图像编码的方式,通过隐写术将恶意软件藏在了图像广告里。

Shlayer恶意软件

2018年2月,Intego的研究人员首次发现了Shlayer恶意软件,它通过bt文件共享网站进行传播。Torrent站点历来是传播恶意软件和广告软件的重灾区。

Intego的研究人员曾在分析该恶意软件的细节时表示,OSX/Shlayer的最初木马感染组件(假冒Flash Player安装程序)利用shell脚本将额外的恶意软件或广告软件下载到受感染的系统上。

Confiant研究人员表示,由于木马会伪装成Flash升级,受害者并不知道它的攻击意图。受感染的用户会被强制重定向到一个安装程序,而此次攻击则是专门针对使用Safari浏览器的用户。

Confiant的高级安全工程师Eliya Stein表示,攻击仍在进行中,且该恶意行为者会定期轮换其payload和域。

广告木马的演变

Stein说,除了研究人员定位到了攻击者的一个服务域(veryield-malyst[.]com)之外,对攻击者背后的信息知之甚少。

Confiant和Malwarebytes公司的研究小组表示,这一最新的恶意广告攻击展示了该类策略如何持续演变的,因为威胁行为者既希望能在大范围内散布恶意软件,同时也希望能通过一些混淆手段来隐藏恶意软件。而随着漏洞检测技术的不断成熟,老练的攻击者开始意识到,明显的混淆方法已经无法完成这项工作。常见的JavaScript混淆器的输出是一种非常特殊的乱码,很容易被肉眼识别。这种策略对于隐藏payload非常有用,不需要依赖十六进制编码的字符串或庞大的查找表。

本文翻译自:https://threatpost.com/malware-in-ad-based-images-targets-mac-users/141115/如若转载,请注明原文地址: https://www.4hou.com/info/news/15889.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论