Эксперты наблюдают масштабную вредоносную кампанию, в ходе которой, по их оценкам, уже пострадало около 1 млн владельцев компьютеров Mac. Чтобы уберечь опасный код от обнаружения, злоумышленники внедряют его в рекламные изображения, используя стеганографию.

Подобный метод маскировки хорошо известен, однако вирусописатели прибегают к нему достаточно редко. Тем не менее, в прошлом году исследователи зафиксировали несколько кампаний, полагающихся на стеганографию, в том числе случаи загрузки зараженных картинок на Google+ и сокрытия команд в мемах, публикуемых в Twitter.

Текущая Mac-кампания, по данным Confiant и Malwarebytes, была запущена 11 января. Анализ показал, что в файлах изображений сокрыт вредоносный JavaScript. Если кликнуть по рекламной картинке, на компьютер под видом обновления для Adobe Flash Player загрузится троян Shlayer, который запустит установку рекламного ПО.

«Зловред действует и как троян (замаскированный под обновление Flash Player), и как дроппер дополнительной полезной нагрузки, в частности, adware, — уточнил для Threatpost Жером Сегура (Jérôme Segura), возглавляющий группу аналитики угроз в Malwarebytes. — В результате пользователь, заметив, что компьютер работает медленнее обычного, может согласиться купить приложение, которое ему вовсе не требуется».

Со слов экспертов, на настоящий момент они выявили 191 970 вредоносных рекламных объектов. Количество жертв заражения, по оценкам, приблизилось к 1 млн. Убытки рекламодателей от мошенничества только за один день, 11 января, составили более $1,2 млн.

«Как оказалось, преступная схема работает много месяцев, но дополнение в виде вредоносного кода, внедренного в изображения с помощью стеганографии, появилось совсем недавно», — пишут исследователи в блоге.

Элайя Штейн (Eliya Stein), старший специалист по защите информации в Confiant, отметил в комментарии для Threatpost, что вредоносная кампания еще не завершилась, а ее авторы регулярно сменяют полезную нагрузку и используемые домены. Кто стоит за атаками, определить пока не удалось; в Confiant злоумышленников прозвали VeryMal («плохиши») — из-за имени, которое те присвоили одному из доменов (veryield-malyst[.]com).

Категории: Вредоносные программы, Мошенничество