引言
近日,研究人员发现Shlayer恶意软件使用虚假的Flash更新和 会工程策略诱骗受害者手动安装 macOS 恶意软件。Shlayer于2018年出现,并在较短的时间内成为在 macOS 设备上传播广告软件的最普遍方式之一。Shlayer 最常见的分发方法是通过恶意广告将 Safari 用户重定向到显示 Adobe Flash Player 过期警 的站点。
简况
最近的恶意广告活动的一个示例中,Shlayer将用户重定向到显示过期 Adobe Flash Player 警 的approvedfornext[.]com站点。一旦用户点击这个虚假的软件更新弹出窗口,Shlayer 就会被下载并安装在受害者的机器上。为了引导用户将恶意软件安装到机器上,攻击者使用了一个.dmg 文件,显示有关如何执行安装操作的分步说明,如下图所示:
攻击者可以根据目标的用户代理、IP 地址以及这是否是用户第一次访问该 站,来决定将用户重定向到恶意 站还是非恶意 站。用户代理是识别浏览器、浏览器版本和操作系统的一种方式,允许 Web 服务器根据用户使用的浏览器和操作系统呈现不同的 站。例如,如果用户在 macOS 上使用 Chrome浏览器,则可能会被发送到与攻击者的广告 络相关联的非恶意 站,通过重定向错误点击广告链接来进一步产生广告收入。如果用户在不同的浏览器(例如 Safari)上访问相同的初始域,则将被重定向到恶意 站。在大多数情况下,在初次访问恶意域后,任何其他访问都将重定向到停放域名。域名停放允许在域“under construction”时可以盈利,使域所有者能够显示来自广告附属公司的链接。 这些方案包括试图诱骗用户致电“技术支持”以删除病毒,以及诱骗用户在检测到机器运行的是过时版本后安装“Adobe Flash Player”。
Shlayer一直在不断发展,是攻击者用来破坏受害者机器的首选恶意软件。在 Shlayer 正在利用的 CVE-2021-30657 发布之前,Shlayer 检测量有所增加。此漏洞随后于 2021 年 4 月 26 日修补。 然而,即使没有利用0-day漏洞,Shlayer 仍然是一种很流行的恶意软件。尽管漏洞修复后,Shlayer 检测量有所下降,但 Shlayer 运营商在几天后就恢复了他们的攻击活动,这说明Shlayer的开发黑客一直在不断维护该软件。2021 年 4 月至 6 月,Shlayer的检测量如下图:
PS:每日更新整理国内外威胁情 快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!