Advertentie

Ontmoet Kyle en Stan. Nee, ik heb het niet over het tweekoppige duo uit South Park, maar over het nieuwste Malvertising-netwerk uit de hel. Het is ingenieus. Het is schadelijk. En het bedreigt zowel Mac- als Windows-gebruikers.

Malvertising is een portmanteau van ‘malware’ en ‘advertising’. De manier waarop het werkt is eenvoudig. Ten eerste worden legitieme online advertentiekanalen gebruikt om browsers te dwingen schadelijke software te downloaden. Het is verontrustend dat slachtoffers niet eens op een verdachte website hoeven te zijn. Deze kwaadaardige advertenties zijn zelfs weergegeven via dergelijke onschadelijke websites zoals Amazon.com, Apple.com en ads.yahoo.com.

Kyle en Stan maken gebruik van social engineering om uw computer vol ongewenste en onaangename malware te pompen. Benieuwd hoe je terug kunt vechten? Lees verder.

Hoe de aanval werkt

De aanval is afhankelijk van een aantal dingen. De eerste is op de een of andere manier overtuigen van een traditioneel (en legitiem) advertentienetwerk - zoals DoubleClick, door Google - om een ​​advertentie uit te voeren die schadelijke code bevat. Hoewel niet opgemerkt door het advertentienetwerk, wordt deze advertentie vervolgens gecascadeerd naar andere legitieme sites, die vervolgens in de browser worden uitgevoerd en gebruikers vervolgens omleiden naar sites die schadelijke software bedienen.

instagram viewer

De malware bepaalt ook welk besturingssysteem en browsers worden gebruikt door de user-agent-reeks te onderzoeken, die een schat aan informatie over de configuratie van de computer bevat. Dit bevat alles, van de schermresolutie tot de plug-ins die in de browser worden uitgevoerd.

kas-aanval

Nadat de malware het besturingssysteem van de gebruiker heeft bepaald, neemt deze vervolgens een beslissing waar de browser naartoe wordt omgeleid. Mac-gebruikers worden verzonden naar sites die malware aanbieden die specifiek is voor OS X en wordt gebundeld als een DMG, terwijl Windows-gebruikers worden verzonden naar sites die Windows-malware aanbieden als uitvoerbare bestanden.

Uw browser zal dan automatisch de malware downloaden. Dit is naar verluidt een bundel legitieme software - meestal een mediaspeler - naast verschillende malwarepakketten en een configuratiebestand dat specifiek is voor de gebruiker.

Zoals de Cisco-blogbericht waarin aanvankelijk de geconstateerde malware werd geïdentificeerd, het interessante aan ‘Kyle en Stan’ is dat het ook Mac-gebruikers aanvalt. Dit zijn gebruikers die traditioneel niet te maken hebben gehad met de beveiligingsrisico's die inherent zijn aan Microsoft Windows en als gevolg hiervan kwetsbaarder kunnen zijn voor het sociale aspect van de aanval.

De malware die wordt aangeboden door Kyle en Stan verschilt fundamenteel in de manier waarop ze werken en hoe ze worden verwijderd voor elk doelgericht platform. Nieuwsgierig? Lees verder.

De Windows-malware

De Windows-malware is een 32-bits Windows-app geschreven in C ++. Na uitvoering installeert het verschillende stukken malware, evenals NewPlayer. Dit komt vermomd als een mediaspeler, wat het legitieme facet is dat andere, minder dan legitieme activiteiten verhult. Het kaapt namelijk Internet Explorer, Google Chrome en Firefox en dient ongewenste advertenties en pop-ups en kaapt zoekverkeer.

kas-win

De Windows-malware van Kyle en Stan verdoezelt zijn activiteit met iets dat Dynamic Forking wordt genoemd. Dit werkt door legitieme processen te kapen en te vervangen door andere activiteiten. Hierdoor kan de malware de beveiligingsfuncties van Windows omzeilen en nieuwe kwaadaardige software installeren zonder argwaan te wekken. Een meer gedetailleerde uitleg over hoe dit werkt kan zijn gevonden op het Cisco-blogbericht.

Dynamic Forking is een ongelooflijke uitdaging om tegen te gaan. Het toont ook het extreme niveau van verfijning van deze specifieke malware. Maar hoe zit het met het verwijderen? Nou, van de hand doen NewPlayer is een goed gedocumenteerd, goed begrepen proces. Zoals eerder vermeld, installeert (en kan dit ook) andere willekeurige pakketten worden geïnstalleerd. Daarom wordt u geadviseerd om een ​​bijgewerkte en actuele antivirusinstallatie te hebben. Dit is volledig gedocumenteerd in onze Malware Removal Guide De complete gids voor het verwijderen van malwareMalware is tegenwoordig overal aanwezig en het verwijderen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig hebt. Lees verder .

De Mac-malware

Maar hoe zit het met de Mac-malware? Wanneer een Mac een site bezoekt waarop een Kyle and Stan-advertentie wordt uitgevoerd, wordt automatisch een DMG gedownload. Binnenin zit een kopie van MPlayerX, een legitieme mediaspeler die vorig jaar werd beoordeeld door mijn collega Dave LeClair.

Dit wordt geleverd met twee niet-legitieme stukken malware. Beide zijn browserkapers: Conduit en VSearch. Conduit heeft een laagje legitimiteit - het is gemaakt door een echt bedrijf met werknemers, kantoren en mailingadressen - en de gebruiker heeft de mogelijkheid om deze specifieke browser niet te installeren kaper. Een dergelijke optie bestaat echter niet voor VSearch.

kas-mac

Het gedrag van VSearch is consistent met de meeste browserkapers. Zoekverkeer wordt omgeleid via hun eigen portals waarop hun eigen advertenties spatten en er worden periodiek pop-upadvertenties gelanceerd. Het is vervelend en opdringerig. En nog belangrijker, het is een bedreiging voor uw privacy. VSearch begint ook tijdens runtime, omdat een launcher wordt toegevoegd aan launchctl zodra het is geïnstalleerd.

Het verwijderen is echter relatief eenvoudig. Zet de volgende items in de prullenbak:

/ Bibliotheek / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist /Library/LaunchDaemons/Jack.plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework

Wat kan je doen?

Kyle en Stan verslaan is eenvoudig. Je moet gewoon ongelooflijk waakzaam zijn. Heeft uw computer automatisch een uitvoerbaar bestand gedownload dat u niet had verwacht? Ziet het er visachtig uit? Ben je doorverwezen naar de downloadpagina van een stuk software waarmee je niet vertrouwd bent? Dit zijn allemaal redenen om ons zorgen te maken.

Ik zou u ook willen aanmoedigen om ook een modern, bijgewerkt antivirusprogramma op uw systeem te hebben. Dit geldt ook voor Mac-gebruikers. Ik ben erg dol op Sophos OS X antivirus.

Ben je geraakt door Kyle en Stan? Laat het me weten. Het vak Opmerkingen staat hieronder.

Afbeelding tegoed: Cisco

Matthew Hughes is een softwareontwikkelaar en -schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is absoluut dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op Twitter op @matthewhughes.