影響百萬Mac使用者、隱藏在廣告影象中的惡意軟體
近日研究人員觀測到,有一場大規模的廣告軟體活動,迄今為止已經影響了多達100萬的Mac使用者,該攻擊使用了一種巧妙的隱寫技術,將惡意軟體隱藏在影象檔案中。
Confiant和Malwarebytes公司的研究人員表示,這些攻擊從1月11日起就開始了,利用網路上的廣告和隱寫術進行傳播;隱寫術是一種在看似無害的文字或影象中隱藏私密資訊、程式碼或資訊的技術。在過去的一年裡,這一策略已經在多個攻擊行動中使用,包括在谷歌可信任站點上傳惡意圖片,甚至隱藏在Twitter上流傳的表情包中。
在此次針對Mac使用者的攻擊中,受害者首先會看到一個以影象形式呈現的廣告,然而這些影象實際上包含了JavaScript惡意軟體的程式碼。一旦點選,使用者就會感染上Shlayer木馬,Shlayer木馬會偽裝成Flash升級,然後將受害者重定向到廣告軟體安裝程式。
Malwarebytes公司的威脅情報主管Jerome Segura在接受《安全郵報》的採訪時表示:
這種惡意軟體既可視作木馬(能偽裝成Flash播放器進行更新),也可以視作其他payload的dropper,尤其是廣告軟體。因此,終端使用者可能會注意到他們的機器執行得比正常情況下慢,也可能會被騙去購買他們不需要的應用程式。
研究人員表示,到目前為止,他們已經發現了超過19萬個惡意廣告,估計大約有100萬用戶受到了影響。據Confiant估計,僅1月11日的受損金額就超過了120萬美元。
研究人員在週三釋出的一篇詳細介紹該活動的帖子中表示:
事實證明,黑客已經活躍了數月,但直到最近,他們才開始通過影象編碼的方式,通過隱寫術將惡意軟體藏在了影象廣告裡。
Shlayer惡意軟體
2018年2月,Intego的研究人員首次發現了Shlayer惡意軟體,它通過bt檔案共享網站進行傳播。Torrent站點歷來是傳播惡意軟體和廣告軟體的重災區。
Intego的研究人員曾在分析該惡意軟體的細節時表示,OSX/Shlayer的最初木馬感染元件(假冒Flash Player安裝程式)利用shell指令碼將額外的惡意軟體或廣告軟體下載到受感染的系統上。
Confiant研究人員表示,由於木馬會偽裝成Flash升級,受害者並不知道它的攻擊意圖。受感染的使用者會被強制重定向到一個安裝程式,而此次攻擊則是專門針對使用Safari瀏覽器的使用者。
Confiant的高階安全工程師Eliya Stein表示,攻擊仍在進行中,且該惡意行為者會定期輪換其payload和域。
廣告木馬的演變
Stein說,除了研究人員定位到了攻擊者的一個服務域(veryield-malyst[.]com)之外,對攻擊者背後的資訊知之甚少。
Confiant和Malwarebytes公司的研究小組表示,這一最新的惡意廣告攻擊展示了該類策略如何持續演變的,因為威脅行為者既希望能在大範圍內散佈惡意軟體,同時也希望能通過一些混淆手段來隱藏惡意軟體。而隨著漏洞檢測技術的不斷成熟,老練的攻擊者開始意識到,明顯的混淆方法已經無法完成這項工作。常見的JavaScript混淆器的輸出是一種非常特殊的亂碼,很容易被肉眼識別。這種策略對於隱藏payload非常有用,不需要依賴十六進位制編碼的字串或龐大的查詢表。