近日研究人员观测到，有一场大规模的广告软件活动，迄今为止已经影响了多达100万的Mac用户，该攻击使用了一种巧妙的隐写技术，将恶意软件隐藏在图像文件中。

Confiant和Malwarebytes公司的研究人员表示，这些攻击从1月11日起就开始了，利用网络上的广告和隐写术进行传播;隐写术是一种在看似无害的文本或图像中隐藏私密信息、代码或信息的技术。在过去的一年里，这一策略已经在多个攻击行动中使用，包括在谷歌可信任站点上传恶意图片，甚至隐藏在Twitter上流传的表情包中。

在此次针对Mac用户的攻击中，受害者首先会看到一个以图像形式呈现的广告，然而这些图像实际上包含了JavaScript恶意软件的代码。一旦点击，用户就会感染上Shlayer木马，Shlayer木马会伪装成Flash升级，然后将受害者重定向到广告软件安装程序。

Malwarebytes公司的威胁情报主管Jerome Segura在接受《安全邮报》的采访时表示：

这种恶意软件既可视作木马(能伪装成Flash播放器进行更新)，也可以视作其他payload的dropper，尤其是广告软件。因此，终端用户可能会注意到他们的机器运行得比正常情况下慢，也可能会被骗去购买他们不需要的应用程序。

研究人员表示，到目前为止，他们已经发现了超过19万个恶意广告，估计大约有100万用户受到了影响。据Confiant估计，仅1月11日的受损金额就超过了120万美元。

研究人员在周三发布的一篇详细介绍该活动的帖子中表示:

事实证明，黑客已经活跃了数月，但直到最近，他们才开始通过图像编码的方式，通过隐写术将恶意软件藏在了图像广告里。

Shlayer恶意软件

2018年2月，Intego的研究人员首次发现了Shlayer恶意软件，它通过bt文件共享网站进行传播。Torrent站点历来是传播恶意软件和广告软件的重灾区。

Intego的研究人员曾在分析该恶意软件的细节时表示，OSX/Shlayer的最初木马感染组件(假冒Flash Player安装程序)利用shell脚本将额外的恶意软件或广告软件下载到受感染的系统上。

Confiant研究人员表示，由于木马会伪装成Flash升级，受害者并不知道它的攻击意图。受感染的用户会被强制重定向到一个安装程序，而此次攻击则是专门针对使用Safari浏览器的用户。

Confiant的高级安全工程师Eliya Stein表示，攻击仍在进行中，且该恶意行为者会定期轮换其payload和域。

广告木马的演变

Stein说，除了研究人员定位到了攻击者的一个服务域(veryield-malyst[.]com)之外，对攻击者背后的信息知之甚少。

Confiant和Malwarebytes公司的研究小组表示，这一最新的恶意广告攻击展示了该类策略如何持续演变的，因为威胁行为者既希望能在大范围内散布恶意软件，同时也希望能通过一些混淆手段来隐藏恶意软件。而随着漏洞检测技术的不断成熟，老练的攻击者开始意识到，明显的混淆方法已经无法完成这项工作。常见的JavaScript混淆器的输出是一种非常特殊的乱码，很容易被肉眼识别。这种策略对于隐藏payload非常有用，不需要依赖十六进制编码的字符串或庞大的查找表。