Propaganda

Conheça Kyle e Stan. Não, não estou falando da dupla de boca suja de South Park, mas da mais recente rede de publicidade do Malvertising do inferno. É engenhoso. É pernicioso. E isso ameaça os usuários de Mac e Windows.

Malvertising é um portmanteau de 'malware' e 'publicidade'. O modo como funciona é simples. Em primeiro lugar, canais de publicidade on-line legítimos são usados ​​para forçar os navegadores a baixar software malicioso. O que é preocupante é que as vítimas nem precisam estar em um site suspeito. Esses anúncios maliciosos foram veiculados em sites inócuos, como Amazon.com, Apple.com e ads.yahoo.com.

Kyle e Stan aproveitam a engenharia social para bombear seu computador com malware indesejável e desagradável. Curioso para saber como você pode reagir? Leia.

Como o ataque funciona

O ataque depende de várias coisas. A primeira é, de alguma forma, convencer uma rede de publicidade tradicional (e legítima) - como o DoubleClick, do Google - a exibir um anúncio que contém código malicioso. Embora não seja detectado pela rede de anunciantes, esse anúncio é enviado em cascata para outros sites legítimos, que são executados no navegador e redirecionam os usuários para sites que servem software malicioso.

instagram viewer

O malware também determina qual sistema operacional e navegadores estão sendo usados, examinando a sequência de agente do usuário, que contém muitas informações sobre a configuração do computador. Isso contém tudo, desde a resolução da tela até os plugins em execução no navegador.

ataque de kas

Depois que o malware determina o sistema operacional do usuário, ele decide onde redirecionar o navegador. Os usuários de Mac são enviados para sites que exibem malware específico para o OS X e são agrupados como DMG, enquanto os usuários do Windows são enviados para sites que exibem malware do Windows como arquivos executáveis.

Seu navegador fará o download automaticamente de um malware. É relatado que é um pacote de software legítimo - geralmente um media player -, além de vários pacotes de malware e um arquivo de configuração específico para o usuário.

Enquanto o Postagem no blog da Cisco que inicialmente identificou o malware observado, o interessante sobre 'Kyle e Stan' é que ele também ataca usuários de Mac. Esses são usuários que tradicionalmente não tiveram que lidar com os riscos de segurança inerentes ao Microsoft Windows e, como resultado, podem ser mais vulneráveis ​​ao aspecto social do ataque.

O malware atendido por Kyle e Stan difere fundamentalmente de como eles operam e de como são removidos para cada plataforma de destino. Curioso? Leia.

O malware do Windows

O malware do Windows é um aplicativo do Windows de 32 bits, escrito em C ++. Após a execução, ele instala vários pedaços de malware, bem como o NewPlayer. Isso vem disfarçado de media player, que é a faceta legítima que disfarça outras atividades menos que legítimas. Nomeadamente, ele seqüestra o Internet Explorer, Google Chrome e Firefox e exibe anúncios e pop-ups indesejados, além de seqüestrar o tráfego de pesquisa.

kas-win

O malware do Windows servido por Kyle e Stan ofusca sua atividade com algo chamado Dynamic Forking. Isso funciona seqüestrando processos legítimos e os substitui por outras atividades. Isso permite que o malware ignore os recursos de segurança do Windows e instale um novo software malicioso sem levantar suspeitas. Uma explicação mais detalhada de como isso funciona pode ser encontrado na postagem do blog da Cisco.

A bifurcação dinâmica é incrivelmente difícil de mitigar. Também mostra o nível extremo de sofisticação desse malware em particular. Mas e quanto a removê-lo? Bem, se livrar de O NewPlayer é um documento bem documentado, processo bem compreendido. No entanto, como mencionado anteriormente, isso instala (e pode instalar) outros pacotes arbitrários. Como resultado, é recomendável ter uma instalação antivírus atualizada e atualizada. Isto é documentado totalmente em nosso Guia de remoção de malware O guia completo de remoção de malwareAtualmente, existe malware em todos os lugares e a erradicação de malware do sistema é um processo demorado, exigindo orientação. Se você acha que seu computador está infectado, este é o guia que você precisa. consulte Mais informação .

O malware para Mac

Mas e o malware do Mac? Quando um Mac visita um site que está executando um anúncio de Kyle e Stan, um DMG é baixado automaticamente. Dentro, há uma cópia do MPlayerX, um media player legítimo que foi revisado no ano passado pelo meu colega Dave LeClair.

Isso vem com dois malwares menos do que legítimos. Ambos são seqüestradores de navegador: Conduit e VSearch. O Conduit possui um verniz de legitimidade - ele é criado por uma empresa real com funcionários, escritórios e endereços de correspondência - e o usuário tem a opção de optar por não instalar este navegador específico Sequestrador. No entanto, não existe essa opção para o VSearch.

kas-mac

O comportamento do VSearch é consistente com a maioria dos seqüestradores de navegador. O tráfego de pesquisa é redirecionado através de seus próprios portais, com seus próprios anúncios, e anúncios pop-up são lançados periodicamente. É irritante e intrusivo. E mais importante, é uma ameaça à sua privacidade. O VSearch também inicia em tempo de execução, pois um iniciador é adicionado ao launchctl depois de instalado.

Removê-lo é relativamente fácil. Basta soltar os seguintes itens na lixeira:

/ Biblioteca / Suporte a aplicativos / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist /Library/LaunchDaemons/Jack.plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework

O que você pode fazer?

Derrotar Kyle e Stan é fácil. Você só precisa ser incrivelmente vigilante. Seu computador baixou automaticamente um executável que você não esperava? Parece suspeito? Você foi redirecionado para a página de download de um software que você não conhece? Todas estas são razões para se preocupar.

Também recomendamos que você tenha um antivírus atualizado e moderno em execução no seu sistema. Isso também vale para usuários de Mac. Gosto bastante do antivírus Sophos OS X.

Você foi atingido por Kyle e Stan? Deixe-me saber sobre isso. A caixa de comentários está abaixo.

Crédito de imagem: Cisco

Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.