Γνωρίστε τον Kyle And Stan, έναν νέο εφιάλτη κακοποίησης

Διαφήμιση

Διαφήμιση
Διαφήμιση

Γνωρίστε τον Κάιλ και τον Σταν. Όχι, δεν μιλάω για το παγωμένο duo από το South Park, αλλά το πιο πρόσφατο δίκτυο Malvertising από την κόλαση. Είναι ingenius. Είναι ολέθριο. Και απειλεί τόσο τους χρήστες Mac όσο και των Windows.

Το Malvertising είναι ένα πορτραίτο "κακόβουλου λογισμικού" και "διαφήμισης". Ο τρόπος με τον οποίο λειτουργεί είναι απλός. Πρώτον, χρησιμοποιούνται νόμιμα κανάλια διαδικτυακής διαφήμισης για να αναγκάσουν τα προγράμματα περιήγησης να κάνουν λήψη κακόβουλου λογισμικού. Ανησυχώντας, τα θύματα δεν χρειάζεται καν να βρίσκονται σε ύποπτο ιστότοπο. Αυτές οι κακόβουλες διαφημίσεις έχουν ακόμη επιδοθεί μέσω τέτοιων αβλαβών ιστότοπων όπως οι Amazon.com, Apple.com και ads.yahoo.com.

Ο Kyle και ο Stan εκμεταλλεύονται την κοινωνική μηχανική για να αντλήσουν τον υπολογιστή σας γεμάτο από ανεπιθύμητα και δυσάρεστα κακόβουλα προγράμματα. Περιέργεια για το πώς μπορείτε να πολεμήσετε πίσω; Συνέχισε να διαβάζεις.

Πώς λειτουργεί η επίθεση

Η επίθεση εξαρτάται από πολλά πράγματα. Το πρώτο είναι με κάποιο τρόπο πειστικό ένα παραδοσιακό (και νόμιμο) δίκτυο διαφήμισης - όπως το DoubleClick, από την Google - για να τρέξει μια αγγελία που περιέχει κακόβουλο κώδικα. Αν και δεν εντοπίζεται από το δίκτυο διαφημίσεων, αυτή η διαφήμιση οδηγείται στη συνέχεια σε άλλους νόμιμους ιστότοπους, οι οποίοι στη συνέχεια εκτελούνται στο πρόγραμμα περιήγησης και στη συνέχεια ανακατευθύνουν τους χρήστες σε ιστότοπους που εξυπηρετούν κακόβουλο λογισμικό.

Το κακόβουλο λογισμικό επίσης καθορίζει ποιο λειτουργικό σύστημα και προγράμματα περιήγησης χρησιμοποιούνται, εξετάζοντας τη συμβολοσειρά χρήστη-παράγοντα, η οποία περιέχει πληθώρα πληροφοριών σχετικά με τη διαμόρφωση του υπολογιστή. Αυτό περιέχει τα πάντα, από την ανάλυση οθόνης, έως τα plugins που εκτελούνται στο πρόγραμμα περιήγησης.

kas-επίθεση

Μόλις το κακόβουλο λογισμικό προσδιορίσει το λειτουργικό σύστημα του χρήστη, τότε αποφασίζει πού να ανακατευθύνει το πρόγραμμα περιήγησης. Οι χρήστες Mac αποστέλλονται σε ιστότοπους που εξυπηρετούν κακόβουλο λογισμικό που είναι συγκεκριμένο για το OS X και συνοδεύεται ως DMG, ενώ οι χρήστες των Windows αποστέλλονται σε ιστότοπους που προβάλλουν κακόβουλα προγράμματα των Windows ως εκτελέσιμα αρχεία.

Το πρόγραμμα περιήγησής σας θα πραγματοποιήσει αυτόματη λήψη του κακόβουλου λογισμικού. Αυτό αναφέρεται ως μια δέσμη νόμιμου λογισμικού - γενικά ένα πρόγραμμα αναπαραγωγής πολυμέσων - εκτός από πολλά πακέτα κακόβουλου λογισμικού και ένα αρχείο διαμόρφωσης που είναι συγκεκριμένο για τον χρήστη.

Καθώς η ανάρτηση ιστολογίου της Cisco, η οποία αρχικά προσδιόρισε το κακόβουλο λογισμικό, παρατήρησε ότι το ενδιαφέρον για το «Kyle and Stan» είναι ότι επιτίθεται και στους χρήστες Mac. Αυτοί είναι χρήστες που παραδοσιακά δεν έπρεπε να αντιμετωπίσουν τους κινδύνους ασφαλείας που είναι εγγενείς στα Microsoft Windows και ως εκ τούτου μπορεί να είναι πιο ευάλωτοι στην κοινωνική πλευρά της επίθεσης.

Το κακόβουλο λογισμικό που εξυπηρετεί ο Kyle και ο Stan βασικά διαφέρει ως προς τον τρόπο λειτουργίας τους και τον τρόπο με τον οποίο αφαιρούνται για κάθε στοχευόμενη πλατφόρμα. Περίεργος? Συνέχισε να διαβάζεις.

Το κακόβουλο λογισμικό των Windows

Το κακόβουλο λογισμικό των Windows είναι μια εφαρμογή Windows 32 bit που είναι γραμμένη σε C ++. Κατά την εκτέλεση, εγκαθιστά πολλά κομμάτια κακόβουλου λογισμικού, καθώς και το NewPlayer. Αυτό έρχεται μεταμφιεσμένο ως μέσο αναπαραγωγής πολυμέσων, το οποίο είναι η νόμιμη πτυχή που συγκαλύπτει άλλες, λιγότερο από νόμιμες δραστηριότητες. Δηλαδή, πειραματίζεται τον Internet Explorer, το Google Chrome και τον Firefox και εξυπηρετεί ανεπιθύμητες διαφημίσεις και αναδυόμενα παράθυρα και καταστέλλει την επισκεψιμότητα αναζήτησης.

kas-win

Το κακόβουλο λογισμικό των Windows που εξυπηρετεί ο Kyle και ο Stan υπονομεύει τη δραστηριότητά του με κάτι που ονομάζεται Dynamic Forking. Αυτό λειτουργεί με την κατάχρηση νόμιμων διαδικασιών και τις αντικαθιστά με άλλες δραστηριότητες. Αυτό επιτρέπει στο κακόβουλο λογισμικό να παρακάμπτει τις λειτουργίες ασφαλείας των Windows και του επιτρέπει να εγκαθιστά νέο κακόβουλο λογισμικό χωρίς να δημιουργεί υποψίες. Μια λεπτομερέστερη εξήγηση για τον τρόπο με τον οποίο λειτουργεί αυτό μπορεί να βρεθεί στην ανάρτηση ιστολογίου της Cisco.

Το Dynamic Forking είναι απίστευτα δύσκολο να μετριάσει. Δείχνει επίσης το ακραίο επίπεδο της πολυπλοκότητας αυτού του συγκεκριμένου κακόβουλου λογισμικού. Αλλά τι γίνεται με την αφαίρεση; Λοιπόν, να απαλλαγούμε από το NewPlayer είναι μια καλά τεκμηριωμένη, κατανοητή διαδικασία. Ωστόσο, όπως αναφέρθηκε προηγουμένως, αυτό εγκαθιστά (και μπορεί να εγκαταστήσει) άλλα αυθαίρετα πακέτα. Ως αποτέλεσμα, σας συνιστούμε να έχετε μια ενημερωμένη και τρέχουσα εγκατάσταση προστασίας από ιούς. Αυτό τεκμηριώνεται πλήρως στον Οδηγό αφαίρεσης κακόβουλου λογισμικού.

Το κακόβουλο λογισμικό Mac

Αλλά τι γίνεται με το malware Mac; Όταν ένας υπολογιστής Mac επισκέπτεται έναν ιστότοπο που εκτελεί διαφημίσεις Kyle και Stan, γίνεται αυτόματη λήψη ενός DMG. Το εσωτερικό είναι ένα αντίγραφο του MPlayerX, ενός νόμιμου media player που αναθεωρήθηκε πέρυσι από τον συνάδελφό μου Dave LeClair.

Αυτό έρχεται σε συνδυασμό με δύο κομμάτια κακόβουλου λογισμικού που δεν είναι παρά νόμιμα. Και οι δύο είναι αεροπειρατές του προγράμματος περιήγησης: Conduit και VSearch. Το Conduit έχει ένα καπάκι νομιμότητας - δημιουργείται από μια πραγματική εταιρεία με υπαλλήλους, γραφεία και διευθύνσεις αλληλογραφίας - και ο χρήστης έχει τη δυνατότητα να εξαιρεθεί από την εγκατάσταση αυτού του συγκεκριμένου αεροπειρατή. Δεν υπάρχει όμως τέτοια επιλογή για την VSearch, ωστόσο.

kas-mac

Η συμπεριφορά της VSearch είναι συνεπής με τους περισσότερους αεροπειρατές του προγράμματος περιήγησης. Η επισκεψιμότητα αναζήτησης γίνεται ανακατευθυνόμενη μέσω των δικών της πύλων, τα οποία έχουν τις δικές τους διαφημίσεις, και δημοσιεύονται αναδυόμενες διαφημίσεις. Είναι ενοχλητικό και ενοχλητικό. Και το πιο σημαντικό, αποτελεί απειλή για την ιδιωτικότητά σας. Το VSearch ξεκινά επίσης κατά το χρόνο εκτέλεσης, καθώς ένα πρόγραμμα εκκίνησης προστίθεται στο launchctl μόλις εγκατασταθεί.

Η αφαίρεση είναι σχετικά εύκολη. Απλώς αφήστε τα παρακάτω στοιχεία στον κάδο απορριμμάτων:

 / Βιβλιοθήκη / Υποστήριξη εφαρμογών / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Βιβλιοθήκη / LaunchDaemons / Jack. λουλούδι / Βιβλιοθήκη / PrivilegedHelperTools / Jack / Σύστημα / Βιβλιοθήκη / Frames / VSearch.framework 

Τι μπορείς να κάνεις?

Η νίκη του Kyle και του Stan είναι εύκολη. Απλά πρέπει να είστε απίστευτα επαγρυπνοί. Έχει κατεβάσει αυτόματα ο υπολογιστής σας ένα εκτελέσιμο αρχείο που δεν περιμένατε; Μοιάζει ψαρότο; Έχετε ανακατευθυνθεί στη σελίδα λήψης ενός λογισμικού που δεν γνωρίζετε; Αυτοί είναι όλοι λόγοι που πρέπει να ανησυχούν.

Θα σας συνιστούσα επίσης να έχετε ένα σύγχρονο, ενημερωμένο antivirus που εκτελείται στο σύστημά σας. Αυτό ισχύει και για χρήστες Mac. Είμαι πολύ λάτρης του Sophos OS X antivirus.

Έχετε πληγεί από τον Kyle και τον Stan; Επιτρέψτε μου να το ξέρω. Το πλαίσιο σχολίων είναι παρακάτω.

Πιστοποίηση εικόνας: Cisco

In this article