Maak kennis met Kyle en Stan. Nee, ik heb het niet over het tweederangse duo uit South Park, maar over het nieuwste Malvertising-netwerk uit de hel. Het is ingenieus. Het is verderfelijk. En het bedreigt zowel Mac- als Windows-gebruikers.
Malvertising is een samenvoeging van 'malware' en 'reclame'. De manier waarop het werkt, is eenvoudig. Ten eerste worden legitieme online advertentiekanalen gebruikt om browsers te dwingen schadelijke software te downloaden. Verdrietig genoeg hoeven slachtoffers niet eens op een verdachte website te staan. Deze kwaadwillige advertenties zijn zelfs bediend via dergelijke onschuldige websites zoals Amazon.com, Apple.com en ads.yahoo.com.
Kyle en Stan maken gebruik van social engineering om je computer vol ongewenste en onaangename malware te pompen. Benieuwd hoe je terug kunt vechten? Lees verder.
Hoe de aanval werkt
De aanval is afhankelijk van een aantal dingen. De eerste is op de een of andere manier overtuigend van een traditioneel (en legitiem) advertentienetwerk - zoals DoubleClick, van Google - om een advertentie uit te voeren die kwaadaardige code bevat. Hoewel niet gedetecteerd door het advertentienetwerk, wordt deze advertentie vervolgens overgezet naar andere legitieme sites, die vervolgens wordt uitgevoerd in de browser en vervolgens gebruikers doorstuurt naar sites die schadelijke software bevatten.
De malware bepaalt ook welk besturingssysteem en welke browsers worden gebruikt door de user-agent-reeks te onderzoeken, die een schat aan informatie over de configuratie van de computer bevat. Dit bevat alles van de schermresolutie tot de plug-ins die in de browser worden uitgevoerd.
Zodra de malware het besturingssysteem van de gebruiker heeft bepaald, neemt het een beslissing waar de browser moet worden omgeleid. Mac-gebruikers worden verzonden naar sites die malware gebruiken die specifiek is voor OS X en wordt gebundeld als een DMG, terwijl Windows-gebruikers worden verzonden naar sites die Windows-malware gebruiken als uitvoerbare bestanden.
Uw browser zal dan automatisch de malware downloaden. Naar verluidt is dit een bundel van legitieme software - meestal een mediaspeler - naast verschillende malwarepakketten en een configuratiebestand dat specifiek is voor de gebruiker.
Zoals de Cisco-blogpost die aanvankelijk de malware merkte opmerkte, is het interessante van 'Kyle en Stan' dat het ook Mac-gebruikers aanvalt. Dit zijn gebruikers die traditioneel niet te maken hebben gehad met de beveiligingsrisico's die inherent zijn aan Microsoft Windows en die daardoor mogelijk kwetsbaarder zijn voor het sociale aspect van de aanval.
De malware die wordt bediend door Kyle en Stan is fundamenteel anders in hoe ze werken en hoe ze voor elk doelgericht platform worden verwijderd. Nieuwsgierig? Lees verder.
De Windows Malware
De Windows-malware is een 32-bits Windows-app geschreven in C ++. Na uitvoering worden verschillende malware geïnstalleerd, evenals NewPlayer. Dit komt vermomd als een mediaspeler, wat het legitieme facet is dat andere, minder dan legitieme activiteiten vermomt. Namelijk, het kaapt Internet Explorer, Google Chrome en Firefox en dient ongewenste advertenties en pop-ups, en kaping zoekverkeer.
De Windows-malware die door Kyle en Stan wordt gediend, versluiert zijn activiteit met iets dat Dynamic Forking wordt genoemd. Dit werkt door legitieme processen te kapen en vervangt ze door andere activiteiten. Hierdoor kan de malware de beveiligingsfuncties van Windows omzeilen en kan deze nieuwe kwaadaardige software installeren zonder dat dit enige verdenking oplevert. Een meer gedetailleerde uitleg over hoe dit werkt, is te vinden op de Cisco-blogpost.
Dynamische Forking is ongelofelijk uitdagend om te verzachten. Het toont ook het extreme niveau van verfijning van deze specifieke malware. Maar hoe zit het met het verwijderen ervan? Nou, het wegwerken van NewPlayer is een goed gedocumenteerd, goed begrepen proces. Zoals eerder vermeld, installeert dit (en kan het) andere willekeurige pakketten installeren. Als gevolg hiervan wordt u geadviseerd om een bijgewerkte en actuele antivirusinstallatie te hebben. Dit is volledig gedocumenteerd in onze Malware Removal Guide.
De Mac-malware
Maar hoe zit het met de Mac-malware? Wanneer een Mac een site bezoekt waarop een Kyle- en Stan-advertentie wordt weergegeven, wordt automatisch een DMG gedownload. Inside is een kopie van MPlayerX, een legitieme mediaspeler die vorig jaar werd beoordeeld door mijn collega, Dave LeClair.
Dit wordt geleverd met twee niet-legitieme stukjes malware. Beide zijn browserkapers: Conduit en VSearch. Conduit heeft een laagje legitimiteit - het is gemaakt door een echt bedrijf met werknemers, kantoren en postadressen - en de gebruiker heeft de mogelijkheid om deze specifieke browserkaper niet te installeren. Een dergelijke optie is echter niet voor VSearch.
Het gedrag van VSearch is consistent met de meeste browserkapers. Zoekverkeer wordt omgeleid via hun eigen portals waar hun eigen advertenties over spatten en pop-upadvertenties worden periodiek gelanceerd. Het is vervelend en opdringerig. En nog belangrijker, het is een bedreiging voor uw privacy. VSearch begint ook tijdens runtime, omdat een launcher wordt toegevoegd aan launchctl zodra het is geïnstalleerd.
Het verwijderen is echter relatief eenvoudig. Laat de volgende items in de prullenbak vallen:
/ Bibliotheek / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Bibliotheek / PrivilegedHelperTools / Jack / System / Library / Frameworks / VSearch.framework
Wat kan je doen?
Het verslaan van Kyle en Stan is gemakkelijk. Je moet gewoon ongelooflijk waakzaam zijn. Heeft uw computer automatisch een uitvoerbaar bestand gedownload dat u niet verwachtte? Ziet het er visachtig uit? Ben je omgeleid naar de downloadpagina van een stukje software waarmee je niet vertrouwd bent? Dit zijn allemaal redenen om bezorgd te zijn.
Ik zou ook willen dat u ook een moderne, bijgewerkte antivirus op uw systeem laat draaien. Dit geldt ook voor Mac-gebruikers. Ik ben dol op Sophos OS X-antivirus.
Ben je geraakt door Kyle en Stan? Laat het me weten. Het vak Opmerkingen is hieronder.
Afbeelding: Cisco