Злоумышленники успешно скрывают вредоносное ПО для Mac в рекламных изображениях

Компании вредоносного  ПО стали довольно регулярными на устройствах Apple, и согласно новому отчету Confiant, компании по кибербезопасности, в блоке появилась новая группа, которая специально предназначена для пользователей Apple с помощью воздействия вредоносной рекламы.

На этот раз группа под названием VeryMal применила метод стеганографии, чтобы предотвратить обнаружение и скрыть вредоносный код в изображениях рекламы.

Кампания была проанализирована как Confiant, так и Malwarebytes, и исследователи считают, что она была активна с 11 января и продолжалась до 13 января.

За время своей активности зараженное объявление было просмотрено более 5 миллионов раз.

Зрители рекламы утверждают, что в кампании использовалась проверенная тактика показа уведомления о том, что пользователю необходимо обновить Adobe Flash Player, и для этого пользователю необходимо открыть файл для загрузки новой версии.

Кто бы ни согласился на загрузку, он запустил вредоносное ПО на своем Mac, и устройство было заражено трояном Shlayer.

По мере того, как обнаружение вредоносного ПО продолжает созревать, искушенные злоумышленники начинают понимать, что очевидные методы запутывания больше не выполняют свою работу. Такие методы, как стеганография, полезны для контрабанды полезных нагрузок без использования шестнадцатеричных кодированных строк или громоздких таблиц поиска», — рассказала исследователь Confiant Элия Стейн.

Это заслуживающая внимания попытка VeryMal, потому что обычно злоумышленникам трудно обойти многочисленные уровни защиты рекламных сетей и рабочих столов пользователей.

Но VeryMal успешно скрывает полезную нагрузку в графическом файле объявления с помощью стеганографии.

Код может создать объект Canvas, извлечь файл изображения из определенного URL-адреса и создать функцию, чтобы проверить, поддерживает ли браузер определенный шрифт.

Результаты полезной нагрузки, выполненной рекламной вредоносной атакой

Если проверка шрифта не удалась, кампания не будет работать, но если она прошла успешно, базовые данные файла изображения будут проходить циклически, и каждый цикл определяет значение пикселя, которое впоследствии становится буквенно-цифровым символом.

Символ позже конвертируется в строку и выполняется.

Однако, несмотря на скрытую полезную нагрузку, изображение само по себе безвредно, если его кто-то просматривает,  опасность существует только тогда, когда вредоносный код выполняется и браузер перенаправляется на ссылку, содержащую полезную нагрузку.

Пользователям Mac настоятельно рекомендуется сохранять бдительность и не обращать внимания на все онлайн-уведомления, которые они видят на экранах своих настольных компьютеров, поскольку это может быть частью вредоносной кампании.

Они должны особенно остерегаться уведомлений, в которых пользователям предлагается установить обновления программного обеспечения и предоставляется неофициальная ссылка для загрузки.

В стеганографии происходит то, что хакеры извлекают файл и скрывают вредоносный код в поле метаданных EXIF комментария пользователя.

Это не первый случай, когда хакеры используют технику стеганографии для вредоносных программ.

Только в прошлом месяце исследователи обнаружили два мема, скрывающих команды в своих метаданных с помощью стеганографии, распространяющей вредоносные программы в Twitter.

В ходе другой атаки вредоносные изображения размещались на CDN GoogleUserContent с использованием стеганографии, однако шокирует то, что эти атаки не ограничиваются пользователями компьютеров.

Еще в 2016 году стеганография использовалась также для развертывания более 60 вредоносных приложений в Play Store.

 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Злоумышленники успешно скрывают вредоносное ПО для Mac в рекламных изображениях: 1 комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40