Treffen Sie Kyle und Stan. Nein, ich rede nicht von dem trotteligen Duo aus South Park, sondern vom neuesten Malvertising-Netzwerk aus der Hölle. Es ist genial. Es ist schädlich. Und es bedroht sowohl Mac- als auch Windows-Nutzer.
Malvertising ist ein Bestandteil von "Malware" und "Werbung". Die Funktionsweise ist einfach. Zum einen werden legitime Online-Werbekanäle genutzt, um Browser zum Download von Schadsoftware zu zwingen. Beunruhigenderweise müssen Opfer nicht einmal auf einer verdächtigen Website sein. Diese schädlichen Anzeigen wurden sogar über so harmlose Websites wie Amazon.com, Apple.com und ads.yahoo.com geschaltet.
Kyle und Stan nutzen Social Engineering, um Ihren Computer voller unerwünschter und unangenehmer Malware zu pumpen. Neugierig wie du dich wehren kannst? Weiter lesen.
Wie der Angriff funktioniert
Der Angriff hängt von einer Anzahl von Dingen ab. Die erste überzeugt irgendwie ein traditionelles (und legitimes) Werbenetzwerk - wie DoubleClick von Google -, um eine Anzeige zu starten, die bösartigen Code enthält. Diese Anzeige wird zwar vom Werbenetzwerk nicht erkannt, dann aber an andere legitime Websites weitergeleitet, die dann im Browser ausgeführt werden und Nutzer dann an Websites weiterleiten, auf denen bösartige Software bereitgestellt wird.
Die Malware bestimmt auch, welches Betriebssystem und welche Browser verwendet werden, indem sie die User-Agent-Zeichenfolge untersucht, die eine Fülle von Informationen zur Konfiguration des Computers enthält. Dies beinhaltet alles von der Bildschirmauflösung bis zu den Plugins, die im Browser laufen.
Sobald die Malware das Betriebssystem des Benutzers ermittelt hat, trifft sie eine Entscheidung, wohin sie den Browser umleiten soll. Mac-Benutzer werden an Websites gesendet, auf denen OS X-spezifische Malware bereitgestellt wird, und sie werden als DMG gebündelt, während Windows-Benutzer an Websites gesendet werden, die Windows-Malware als ausführbare Dateien bereitstellen.
Ihr Browser wird dann automatisch eine Malware herunterladen. Es wird berichtet, dass es sich dabei um ein Bündel legitimer Software - in der Regel ein Media Player - handelt, zusätzlich zu mehreren Malware-Paketen und einer Konfigurationsdatei, die für den Benutzer spezifisch ist.
Wie der Cisco-Blog-Beitrag, der die Malware anfangs identifiziert hat, interessant ist, ist das Interessante an "Kyle and Stan", dass es auch Mac-Nutzer angreift. Dies sind Benutzer, die traditionell nicht mit den Sicherheitsrisiken von Microsoft Windows umgehen mussten und daher anfälliger für den sozialen Aspekt des Angriffs sind.
Die Malware, die von Kyle und Stan bereitgestellt wird, unterscheidet sich grundlegend darin, wie sie funktionieren und wie sie für jede Zielplattform entfernt werden. Neugierig? Weiter lesen.
Die Windows-Malware
Die Windows-Malware ist eine 32-Bit-Windows-Anwendung, die in C ++ geschrieben ist. Bei der Ausführung werden neben dem NewPlayer mehrere Malware-Teile installiert. Dies wird als Media Player getarnt, was die legitime Facette ist, die andere, weniger legitime Aktivitäten verschleiert. Nämlich entführt es den Internet Explorer, Google Chrome und Firefox und liefert unerwünschte Werbeanzeigen und Pop-ups sowie den Such-Traffic.
Die Windows-Malware, die von Kyle und Stan bedient wird, verschleiert ihre Aktivität mit etwas, das als Dynamic Forking bezeichnet wird. Dies geschieht, indem legitime Prozesse entführt und durch andere Aktivitäten ersetzt werden. Dadurch kann die Malware die Sicherheitsfunktionen von Windows umgehen und neue schädliche Software installieren, ohne dass ein Verdacht entsteht. Eine detailliertere Erklärung, wie das funktioniert, finden Sie im Cisco Blog Post.
Dynamic Forking ist unglaublich schwierig zu mildern. Es zeigt auch die extreme Ausgereiftheit dieser speziellen Malware. Aber was ist mit dem Entfernen? Nun, NewPlayer loszuwerden ist ein gut dokumentierter, gut verstandener Prozess. Wie bereits erwähnt, installiert und installiert es andere beliebige Pakete. Daher wird empfohlen, eine aktualisierte und aktuelle Antiviren-Installation zu installieren. Dies ist vollständig in unserem Malware Removal Guide dokumentiert.
Die Mac-Malware
Aber was ist mit der Mac-Malware? Wenn ein Mac eine Website besucht, auf der eine Kyle- und Stan-Anzeige ausgeführt wird, wird automatisch ein DMG heruntergeladen. Darin befindet sich eine Kopie von MPlayerX, einem legitimen Mediaplayer, der letztes Jahr von meinem Kollegen Dave LeClair überprüft wurde.
Dies wird mit zwei weniger als legitimen Malware-Paketen ausgeliefert. Beide sind Browser-Hijacker: Conduit und VSearch. Conduit hat eine Legitimation - es wird von einer Firma mit Angestellten, Büros und Postanschrift erstellt - und der Benutzer hat die Möglichkeit, die Installation dieses speziellen Browser-Hijackers zu deaktivieren. Es gibt jedoch keine solche Option für VSearch.
Das Verhalten von VSearch ist konsistent mit den meisten Browser-Hijackern. Der Such-Traffic wird über seine eigenen Portale umgeleitet, über die sich eigene Werbespots angesammelt haben, und Popup-Werbung wird regelmäßig gestartet. Es ist nervig und aufdringlich. Und noch wichtiger, es ist eine Bedrohung für Ihre Privatsphäre. VSearch startet auch zur Laufzeit, da ein Launcher nach der Installation zu launchctl hinzugefügt wird.
Das Entfernen ist jedoch relativ einfach. Lass einfach die folgenden Gegenstände in den Müll fallen:
/ Bibliothek / Anwendungsunterstützung / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Bibliothek / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Was kannst du tun?
Kyle und Stan zu besiegen ist einfach. Sie müssen nur unglaublich wachsam sein. Hat Ihr Computer automatisch eine ausführbare Datei heruntergeladen, die Sie nicht erwartet haben? Sieht es fischig aus? Wurden Sie auf die Download-Seite einer Software weitergeleitet, mit der Sie nicht vertraut sind? Das sind alles Gründe, die es betrifft.
Ich würde Sie auch ermutigen, auch ein modernes, aktualisiertes Antivirenprogramm auf Ihrem System zu verwenden. Dies gilt auch für Mac-Benutzer. Ich bin ziemlich angetan von Sophos OS X Antivirus.
Bist du von Kyle und Stan getroffen worden? Lass es mich wissen. Das Kommentarfeld ist unten.
Bildquelle: Cisco