În ciuda faptului că macOS este considerat în mod tradiţional un sistem mult mai sigur, există încă atacatori cibernetici care îşi încearcă norocul, păcălind utilizatorii. Pe baza statisticilor Kaspersky, Shlayer - cea mai răspândită ameninţare macOS în 2019 - este un bun exemplu în acest sens.

Shlayer este specializată în instalarea de adware - programe care deranjează utilizatorii prin furnizarea de reclame ilicite, interceptând şi colectând interogările browser-ului utilizatorului şi modificând rezultatele căutărilor pentru a distribui şi mai multe mesaje publicitare.

Ponderea Shlayer dintre toate atacurile asupra dispozitivelor macOS înregistrate de produsele Kaspersky în perioada ianuarie - noiembrie 2019 s-a ridicat la aproximativ o treime (29,8%). Mai mult, încă de la prima detectare a malware-ului, algoritmul acestuia de infectare nu s-a schimbat foarte mult, chiar dacă activitatea sa a scăzut foarte puţin, ceea ce îl face o ameninţare deosebit de relevantă faţă de care utilizatorii au nevoie de protecţie.

Cum funcţionează Shlayer

Procesul de infectare constă adesea din două faze – mai întâi, utilizatorul instalează Shlayer, apoi programul malware instalează un anumit tip de adware. Infecţia dispozitivului începe, însă, cu un utilizator neavizat care descarcă programul. Pentru a obţine cât mai multe instalări, atacatorul din spatele Shlayer a creat un sistem de distribuţie ce foloseşte o serie de canale care îi conduc pe utilizatori să descarce acest malware.

Pagină Wikipedia cu link-uri rău intenţionate în descriere.

Shlayer este oferit ca modalitate de a monetiza site-urile web într-o serie de programe de fişiere partenere, cu o sumă relativ mare plătită pentru fiecare instalare de malware făcută de utilizatorii americani, ceea ce a determinat ca peste 1000 de „site-uri partenere” să distribuie Shlayer.

Această schemă funcţionează după cum urmează: un utilizator caută un episod dintr-un serial TV sau un meci de fotbal, iar landing page-urile publicitare îl redirecţionează către pagini false de actualizare Flash Player. De aici victima descarcă malware-ul. Pentru fiecare astfel de instalare, partenerul care a distribuit link-uri către malware primeşte o sumă de bani.

Alte scheme duc la o pagină falsă de actualizare Adobe Flash ce redirecţionează utilizatorii de la diverse servicii online mari, cu audienţe de milioane de utilizatori, printre care Youtube, unde link-urile către site-ul web rău intenţionat au fost incluse în descrierile video, şi Wikipedia, unde astfel de link-uri au fost ascunse în trimiterile din articole. Utilizatorii care dădeau click pe aceste link-uri erau redirecţionaţi către landing page-urile de descărcare a Shlayer. Cercetătorii Kaspersky au descoperit 700 de domenii cu un conţinut periculos, link-uri către ele fiind plasate pe o varietate de site-uri legitime.