Исследователи из Confiant и Malwarebytes предупредили о масштабной вредоносной кампании, затронувшей уже более 1 млн пользователей Mac. В ходе операции, начавшейся 11 января текущего года, злоумышленники распространяют вредоносное ПО Shlayer через рекламное изображение. Вредоносный код встраивается непосредственно в изображение с помощью стеганографии – метода, уже не раз использовавшегося киберпреступниками для распространения вредоносного ПО.

Shlayer представляет собой вредоносное ПО на JavaScript, загружающееся на атакуемый компьютер после того, как жертва кликнет на рекламу. Троян маскируется под обновление для Flash Player и перенаправляет пользователей на установщик рекламного ПО. То есть, он действует и как троян, и как дроппер. В результате зараженные компьютеры начинают работать намного медленнее, а пользователям предлагается купить ненужные приложения.

В настоящее время исследователи обнаружили 191 970 вредоносных реклам, общий ущерб от которых составил порядка $1,2 млн. По их словам, киберпреступники орудуют уже несколько месяцев, но только недавно стали внедрять вредоносное ПО в рекламные изображения.

Shlayer был впервые обнаружен в феврале 2018 года исследователями компании Intego. Троян распространялся через BitTorrent-трекеры, а его главной функцией была установка на атакуемую систему дополнительного ПО. Поскольку вредонос маскировался под обновления для Flash Player, у жертв не возникало никаких подозрений.

Вредоносная кампания все еще продолжается, однако киберпреступники регулярно меняют полезную нагрузку и домены. Кто именно стоит за атаками, пока неизвестно. Исследователи из Confiant дали киберпреступной группировке условное название VeryMal по одному из используемых доменов (veryield-malyst[.]com).

Источник: securitylab.ru