Secondo Kaspersy migliaia di siti web distribuiscono malware come Shlayer, progettato per colpire utenti macOS

webinfo@adnkronos.com

Milano, 24 gennaio 2020  

Nel 2019 Kaspersky ha sventato attacchi sferrati usando Shlayer, una famiglia di malware di tipo Trojan. Nel corso dell’anno il malware è stato rilevato e bloccato almeno su un dispositivo su dieci tra quelli che utilizzano le soluzioni Kaspersky per Mac. Secondo questi rilevamenti, Shlayer rappresenta la minaccia più diffusa per gli utenti macOS. Il sistema di distribuzione del malware è intelligente: si diffonde attraverso piattaforme di partner program, attraverso siti web di intrattenimento e persino tramite Wikipedia. Questo dimostra che anche gli utenti che visitano solo siti legittimi hanno bisogno di ulteriore protezione. 

macOS è un sistema operativo noto per essere molto più sicuro e protetto rispetto ad altri. Nonostante questo, molti criminali informatici cercano comunque dei modi per trarre profitto dagli utenti che usano Mac. Secondo le statistiche elaborate da Kaspersky, Shlayer - la minaccia per macOS più diffusa nel 2019 - rappresenta un buon esempio di questa tendenza. Shlayer, la famiglia di malware di tipo Trojan, è specializzata nell'installazione di adware - programmi che impattano sulla vita digitale degli utenti con la diffusione di annunci illeciti, con l’intercettazione e la raccolta delle query direttamente dai browser usati, modificando direttamente i risultati delle ricerche online per alimentare ancora di più la distribuzione di questo tipo di messaggi pubblicitari.  

Considerando tutti gli attacchi rilevati da soluzioni Kaspersky su dispositivi macOS nel periodo che va da gennaio a novembre 2019, Shlayer è stato individuato come responsabile circa in un terzo dei casi analizzati (impatto del 29,28%); quasi tutte le altre 10 principali minacce per il mondo macOS sono adware che Shlayer installa: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit e AdWare.OSX.Cimpli. 

Bisogna considerare anche che dal primo rilevamento, l’algoritmo di infezione di Shlayer non ha subito quasi nessun cambiamento: anche se l’impatto della sua azione si è leggermente ridotto, l’assenza di modifiche lo rende una minaccia particolarmente rilevante e gli utenti devono necessariamente proteggersi.  

Il processo di infezione si compone in genere di due fasi: nella prima l'utente installa Shlayer; nella seconda il malware procede a sua volta con l’installazione di un certo tipo di adware. L'infezione del dispositivo inizia, però, nel momento in cui l’utente procede inconsapevolmente con il download del programma malevolo. Per incentivare il processo di installazione, l'autore della minaccia dietro Shlayer ha creato un sistema di distribuzione del malware che sfrutta una serie di canali che inducono gli utenti a procedere con il suo download. 

Shlayer viene offerto come mezzo per monetizzare i siti web in una serie di piattaforme di partner program; il pagamento per ogni installazione di malware effettuata dagli utenti americani è relativamente alto, tanto da spingere oltre 1000 siti partner a distribuire Shlayer. Lo schema funziona in questo modo: un utente cerca l’episodio di una serie TV o una partita di calcio online, alcune landing page pubblicitarie fake segnalano la necessità di procedere con un aggiornamento di Flash Player. Da queste pagine la vittima scarica il malware. Per ogni installazione avvenuta in questo modo, il partner che ha distribuito i link al malware riceve un pagamento pay-per-install. 

Altri schemi malevoli portano, invece, ad una falsa pagina web di aggiornamento di Adobe Flash, che a sua volta reindirizza gli utenti, partendo da piattaforme di grande rilevanza e con un audience di svariati milioni di persone, come YouTube - i link al sito web malevolo venivano inclusi nelle descrizioni dei video - o Wikipedia - in questo caso i collegamenti malevoli vengono inseriti nei riferimenti all’interno degli articoli. Gli utenti che cliccano su questi link vengono reindirizzati alle landing page per il download di Shlayer. I ricercatori di Kaspersky hanno individuato una grande quanità di siti internet legittimi che contenevano link a 700 domini con contenuti malevoli.  

La maggior parte dei siti web che includono un collegamento ad una pagina fake per il download di un falso aggiornamento di Flash Player riportano contenuti in inglese. È quanto emerge dall’analisi dei paesi principalmente colpiti dalla minaccia: Stati Uniti (31%), Germania (14%), Francia (10%) e Regno Unito (10%). 

"Il sistema operativo macOS può rivelarsi una buona fonte di reddito per i criminali informatici, sempre alla ricerca di nuovi metodi per ingannare gli utenti e molto attivi nell’utilizzo di tecniche di social engineering per la diffusione dei loro malware. Questo caso dimostra che queste minacce possono trovarsi anche all’interno di siti legittimi. Fortunatamente per gli utenti macOS, le minacce più diffuse che riguardano questo sistema operativo attualmente ruotano intorno alla diffusione di pubblicità illecite e non riguardano questioni più pericolose, come il furto di dati finanziari, ad esempio. Una buona soluzione di cybersecurity online può proteggere gli utenti da minacce come queste, rendendo l'esperienza di navigazione e di ricerca digitale più sicura e piacevole", ha commentato Morten Lehn, General Manager Italy di Kaspersky.  

Le soluzioni Kaspersky rilevano Shlayer e i suoi artefatti con i seguenti verdetti:  

HEUR:Trojan-Downloader.OSX.Shlayer.* 

non-virus:HEUR:AdWare.OSX.Cimpli.* 

non-virus:AdWare.Script.SearchExt.* 

non-a-virus:AdWare.Python.CimpliAds.* 

non-virus:HEUR:AdWare.Script.MacGenerator.gen  

Maggiori informazioni su questa famiglia di Trojan e ulteriori dettagli sulle scoperte di Kaspersky sono disponibili su Securelist.com.  

Per ridurre i rischi d’infezione legati ai Trojan come Shlayer, gli esperti di Kaspersky consigliano di:  

•Procedere con l’installazione di programmi e aggiornamenti solo a partire da fonti affidabili.  

•Cercare maggiori informazioni sul sito di intrattenimento che si pensa di usare: esaminare la sua reputazione online e cercare di trovare dei feedback in merito. 

•Utilizzare una soluzione di cybersicurezza affidabile come Kaspersky Security Cloud che fornisce protezione avanzata per Mac, PC e dispositivi mobili.  

Informazioni su Kaspersky  

Kaspersky è un’azienda di sicurezza informatica che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it  

Contatto di redazione: 

kaspersky@noesis.net