Conheça kyle e stan, um novo pesadelo malvertising
Conheça Kyle e Stan. Não, eu não estou falando sobre o duo penico de boca de South Park, mas sim a mais recente rede Malvertising do inferno. É ingenius. É perniciosa. E ameaça os usuários de Mac e Windows.
Conteúdo
Video: [analisando] O Novo Pesadelo - O Retorno de Freddy Krueger - 1994
Malvertising é uma junção de ‘malwares` e‘publicidade`. A maneira como isso funciona é simples. Em primeiro lugar, os canais de publicidade online legítimos são usados para forçar navegadores para download de software malicioso. Problematicamente, as vítimas nem sequer precisa ser em um site suspeito. Estes anúncios maliciosos foram mesmo servido através de tais sites inócuas como Amazon.com, Apple.com e ads.yahoo.com.
Kyle e Stan leva vantagem de engenharia social, a fim de bombear o seu computador cheio de malware indesejado e desagradável. Curioso para saber como você pode lutar para trás? Leia.
Video: Analisando O Filme "O Novo Pesadelo: O Retorno de Freddy Krueger" & Trocando Ideias (Podcast 374)
Como funciona o ataque
O ataque depende de uma série de coisas. A primeira é de alguma forma convencer uma rede de publicidade tradicional (e legítimo) - tais como DoubleClick, pelo Google - para executar um anúncio que contém códigos maliciosos. Enquanto não detectada pela rede de publicidade, este anúncio é então em cascata para outros sites legítimos, que, em seguida, executa no navegador e redireciona os usuários para sites que servem software malicioso.
O malware também determina o sistema operacional e navegadores estão sendo usados por examinar a string user-agent, que contém uma riqueza de informações sobre a configuração do computador. Este contém tudo, desde a resolução da tela, para os plugins que estão em execução no navegador.
Uma vez que o malware tenha determinado o sistema operacional do usuário, ele então toma uma decisão para onde redirecionar o browser. usuários de Mac são enviadas para sites que servem malware que é específico para OS X e é empacotado como um DMG, enquanto usuários do Windows são enviadas para sites que servem malwares do Windows como arquivos executáveis.
Seu navegador irá então baixar automaticamente um malware. Esta é relatado para ser um pacote de software legítimo - em geral, um player de mídia - além de vários pacotes de malware e um arquivo de configuração que é específico para o usuário.
Como o blog Cisco que inicialmente identificou o malware observou, a coisa interessante sobre ‘Kyle e Stan` é que ele também ataca usuários de Mac. Estes são os utilizadores que tradicionalmente não tiveram de lidar com os riscos de segurança que são inerentes ao Microsoft Windows, e como resultado, podem ser mais vulneráveis ao aspecto social do ataque.
O malware servido por Kyle e Stan fundamentalmente differer em como eles funcionam, e como eles são removidos para cada plataforma alvo. Curioso? Leia.
O Malware do Windows
O malware Windows é um aplicativo do Windows de 32 bits escrito em C ++. Após a execução instala várias peças de malware, bem como NewPlayer. Isto vem disfarçado como um media player, que é a faceta legítima que disfarça outra, a atividade menos do que legítimo. Ou seja, ele seqüestra o Internet Explorer, Google Chrome e Firefox e serve anúncios e pop-ups indesejados, e sequestra o tráfego de busca.
O malware do Windows servido por Kyle e Stan ofusca a sua actividade com algo chamado dinâmico bifurcação. Isso funciona por seqüestro processos legítimos, e substitui-los com outra atividade. Isso permite que o malware para contornar os recursos de segurança do Windows, e permite que ele instalar um novo software malicioso sem decorrente suspeita. Uma explicação mais detalhada de como isso funciona pode ser encontrada no blog pós Cisco.
Dinâmica bifurcação é incrivelmente desafiador para mitigar. Também mostra o nível extremo de sofisticação deste malware particular. Mas o que sobre removê-lo? Bem, se livrar de NewPlayer é um bem documentado, processo bem compreendido. No entanto, como mencionado anteriormente, este instala (e pode instalar) outros pacotes arbitrários. Como resultado, você é aconselhado a ter uma instalação de antivírus atualizado e atual. Isto é documentados totalmente em nosso Guia de Remoção de Malware.
O Mac Malware
Mas o que sobre o malware Mac? Quando um Mac visita um site que está executando um anúncio Kyle e Stan, a DMG é baixado automaticamente. Dentro é uma cópia do MPlayerX, um player de mídia legítima que foi revisto no ano passado pelo meu colega, Dave LeClair.
Video: Unbox
Este vem com duas peças menos do que legítimo de malware. Ambos são seqüestradores de navegador: Conduit e VSearch. Conduit tem um verniz de legitimidade - é criado por uma empresa real com funcionários, escritórios e endereços de correio - e o usuário tem a opção de opt-out de instalar este seqüestrador de navegador particular. Não existe essa opção para VSearch, no entanto.
O comportamento do VSearch é consistente com a maioria dos seqüestradores de navegador. tráfego de pesquisa é redirecionado através de seus próprios portais que têm seus próprios anúncios espirrou aproximadamente, e anúncios pop-up são lançados periodicamente. É chato, e intrusivo. E mais importante, é uma ameaça à sua privacidade. VSearch também começa em tempo de execução, como um lançador é adicionado ao launchctl uma vez instalado.
A remoção é relativamente fácil embora. Basta soltar os seguintes itens no lixo:
/ Library / Application Support / VSearch / Library / LaunchAgents / com.vsearch.agent.plist / Library / LaunchDaemons / com.vsearch.daemon.plist / Library / LaunchDaemons / com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack / System / Library / Frameworks / VSearch.framework
O que você pode fazer?
Derrotar Kyle e Stan é fácil. Você só precisa ser extremamente vigilantes. Tem o seu computador baixado automaticamente um executável que você não estava esperando? Será que olhar de peixe? Você foi redirecionado para a página de download de um pedaço de software que você não está familiarizado com? Estas são todas as razões para se preocupar.
Eu também incentivá-lo a ter também um moderno antivírus, atualizado em execução no sistema. Isto também vale para usuários de Mac. Eu sou completamente apaixonado por Sophos OS X antivírus.
Você foi atingido por Kyle e Stan? Deixe-me saber sobre isso. caixa de comentários está abaixo.