Новый зловред для macOS под названием OSX/Shlayer, обнаруженный исследователями из фирмы Intego, маскируется под обновление для Adobe Flash Player. Заражение происходит на сайтах обмена файлами BitTorrent, когда пользователь пытается выбрать magnet-ссылку для скачивания. После установки троян использует сценарии командной оболочки, чтобы загрузить дополнительное вредоносное или рекламное ПО на зараженный компьютер.

Уведомления якобы от Flash Player могут быть встроены и прямо в браузер. В Mozilla Firefox при этом появляется синяя стрелка на панели инструментов, а в Google Chrome — всплывающее сообщение. Интересно, что во втором случае свежая версия плеера автоматически устанавливается вместе с обновлениями браузера и пользователю не нужно предпринимать никаких действий. Мошенники играют на том, что многие этого не знают.

Сам Shlayer по сути является дроппером, который загружает на компьютер опасные программы при помощи скрипта оболочки. Никакого взаимодействия с владельцем устройства при этом не требуется, жертва не увидит очевидных признаков заражения вроде внезапно открывшегося приложения Terminal. Вся вредоносная деятельность осуществляется в фоновом режиме.

Запущенный дроппером код загружает OSX/MacOffers (также известный как BundleMeUp, Mughthesec и Adload) или рекламное ПО OSX/Bundlore. На всех этих программах стоит действительная цифровая подпись разработчика Apple, что помогает не вызывать подозрения у Gatekeeper. Также они умеют проверять, работает ли на компьютере антивирус.

Так как цель мошенников — получение прибыли от вредоносной рекламы и всплывающих окон, зловреды устанавливают нежелательные приложения или расширения для Safari.

Исследователи выделяют три разновидности OSX/Shlayer, которые различаются по количеству вложенных в них сценариев оболочки (один, два или же — в третьем случае — скрипт идет в комплекте с приложением Mach-O).

Для предотвращения заражения специалисты рекомендуют не загружать обновления Flash Player с сомнительных страниц, а делать это только на официальном сайте Adobe.

Несмотря на предупреждения, такой способ введения людей в заблуждение все еще остается успешным. Мошенники по-прежнему зарабатывают деньги на неопытных пользователях, выдавая фишинг за техподдержку, а в январе текущего года преступная структура Zirconium использовала уведомления об устаревшем ПО для заражения компьютеров.

Категории: Вредоносные программы, Спам