Jaromir Miko Lo scorso anno i prodotti di protezione per Mac di Kaspersky hanno impedito gli attacchi da parte della famiglia di malware trojan Shlayer su un dispositivo su dieci. Si trattava quindi della minaccia più diffusa per gli utenti macOS. Ciò è dovuto principalmente al metodo di distribuzione, in cui il malware viene diffuso attraverso una rete di partner, siti di intrattenimento o addirittura Wikipedia. Ciò conferma il fatto che anche gli utenti che visitano solo siti legali necessitano di una protezione aggiuntiva contro le minacce online.
Galleria di Foto
Nonostante il sistema operativo macOS sia generalmente considerato più sicuro rispetto ad altri, sono numerosi i criminali informatici che tentano ancora di derubare i suoi utenti. Shlayer, la minaccia macOS più diffusa del 2019, ne è un buon esempio, come dimostrano le statistiche di Kaspersky. La sua arma principale sono gli adware, programmi che terrorizzano gli utenti con pubblicità non richieste. Sono anche in grado di catturare e raccogliere informazioni di ricerca, in base alle quali adattano i risultati della ricerca in modo da poter visualizzare ancora più messaggi pubblicitari.
La quota di minacce di Shlayer rivolte ai dispositivi macOS protetti dai prodotti Kaspersky tra gennaio e novembre 2019 ha raggiunto il 29,28%. Quasi tutte le altre minacce tra le prime 10 minacce macOS sono adware installati da Shlayer: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit e AdWare.OSX.Cimpli. Da quando Shlayer è stato rilevato per la prima volta, il suo algoritmo responsabile dell’infezione è cambiato solo in minima parte, mentre la sua attività è rimasta invariata.
| Oggetto | Proporzione di utenti compromessi |
| HEUR:Trojan-Downloader.OSX.Shlayer.a | 29.28% |
| non-un-virus:HEUR:AdWare.OSX.Bnodlero.q | 13.46% |
| non-un-virus:HEUR:AdWare.OSX.Spc.a | 10.20% |
| non-un-virus:HEUR:AdWare.OSX.Pirrit.p | 8.29% |
| non-un-virus:HEUR:AdWare.OSX.Pirrit.j | 7.98% |
| non-un-virus:AdWare.OSX.Geonei.ap | 7.54% |
| non-un-virus:HEUR:AdWare.OSX.Geonei.as | 7.47% |
| non-un-virus:HEUR:AdWare.OSX.Bnodlero.t | 6.49% |
| non-un-virus:HEUR:AdWare.OSX.Pirrit.o | 6.32% |
| non-un-virus:HEUR:AdWare.OSX.Bnodlero.x | 6.19% |
Le 10 principali minacce rivolte a macOS in base alla percentuale di utenti infetti che utilizzano i prodotti Kaspersky (gennaio-novembre 2019)
Il dispositivo viene infettato dalla regola in due fasi: prima l'utente installa Shlayer e poi il malware installa il tipo di adware selezionato. Tuttavia, il dispositivo viene infettato quando l'utente scarica inavvertitamente un programma dannoso. Per raggiungere questo obiettivo, gli aggressori hanno creato un sistema di distribuzione con una serie di canali che inducono gli utenti a scaricare malware.
I criminali informatici offrono Shlayer come un modo per monetizzare il sito in una serie di programmi di affiliazione con un pagamento relativamente alto per ogni installazione effettuata dagli utenti statunitensi. L'intero schema funziona così: un utente cerca su Internet un episodio di una serie TV o una partita di calcio. La pagina di destinazione pubblicitaria lo reindirizza a false pagine di aggiornamento di Flash Player. Da lì, la vittima scarica il malware. Il partner responsabile della distribuzione del collegamento malware viene ricompensato con un pagamento per ogni installazione facilitata. In molti casi, gli utenti venivano reindirizzati anche a pagine dannose con un falso aggiornamento di Adobe Flash da siti come YouTube o Wikipedia. Sul portale video, i collegamenti dannosi erano elencati nella descrizione dei video, nell'enciclopedia Internet i collegamenti erano nascosti nelle fonti dei singoli articoli.
Quasi tutti i siti che hanno portato al falso aggiornamento di Flash Player avevano contenuti in inglese. Ciò corrisponde alla rappresentazione dei paesi con il maggior numero di utenti attaccati: USA (31%), Germania (14%), Francia (10%) e Gran Bretagna (10%).
Le soluzioni Kaspersky rilevano Shlayer e oggetti correlati come:
- HEUR:Trojan-Downloader.OSX.Shlayer.*
- non-un-virus:HEUR:AdWare.OSX.Cimpli.*
- non-un-virus:AdWare.Script.SearchExt.*
- non-un-virus:AdWare.Python.CimpliAds.*
- not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Affinché gli utenti macOS possano ridurre al minimo il rischio di essere attaccati da questa famiglia di malware, gli esperti di Kaspersky raccomandano le seguenti misure:
- Installa programmi e aggiornamenti solo da fonti attendibili
- Scopri di più sul sito di intrattenimento: qual è la sua reputazione e cosa ne dicono gli altri utenti
- Utilizza soluzioni di sicurezza efficaci sui tuoi dispositivi
