近日研究人员观测到,有一场大规模的广告软件活动,迄今为止已经影响了多达100万的Mac用户,该攻击使用了一种巧妙的隐写技术,将恶意软件隐藏在图像文件中。
Confiant和Malwarebytes公司的研究人员表示,这些攻击从1月11日起就开始了,利用网络上的广告和隐写术进行传播;隐写术是一种在看似无害的文本或图像中隐藏私密信息、代码或信息的技术。在过去的一年里,这一策略已经在多个攻击行动中使用,包括在谷歌可信任站点上传恶意图片,甚至隐藏在Twitter上流传的表情包中。
在此次针对Mac用户的攻击中,受害者首先会看到一个以图像形式呈现的广告,然而这些图像实际上包含了JavaScript恶意软件的代码。一旦点击,用户就会感染上Shlayer木马,Shlayer木马会伪装成Flash升级,然后将受害者重定向到广告软件安装程序。
Malwarebytes公司的威胁情报主管Jerome Segura在接受《安全邮报》的采访时表示:
这种恶意软件既可视作木马(能伪装成Flash播放器进行更新),也可以视作其他payload的dropper,尤其是广告软件。因此,终端用户可能会注意到他们的机器运行得比正常情况下慢,也可能会被骗去购买他们不需要的应用程序。
研究人员表示,到目前为止,他们已经发现了超过19万个恶意广告,估计大约有100万用户受到了影响。据Confiant估计,仅1月11日的受损金额就超过了120万美元。
研究人员在周三发布的一篇详细介绍该活动的帖子中表示:
事实证明,黑客已经活跃了数月,但直到最近,他们才开始通过图像编码的方式,通过隐写术将恶意软件藏在了图像广告里。
Shlayer恶意软件
2018年2月,Intego的研究人员首次发现了Shlayer恶意软件,它通过bt文件共享网站进行传播。Torrent站点历来是传播恶意软件和广告软件的重灾区。
Intego的研究人员曾在分析该恶意软件的细节时表示,OSX/Shlayer的最初木马感染组件(假冒Flash Player安装程序)利用shell脚本将额外的恶意软件或广告软件下载到受感染的系统上。
Confiant研究人员表示,由于木马会伪装成Flash升级,受害者并不知道它的攻击意图。受感染的用户会被强制重定向到一个安装程序,而此次攻击则是专门针对使用Safari浏览器的用户。
Confiant的高级安全工程师Eliya Stein表示,攻击仍在进行中,且该恶意行为者会定期轮换其payload和域。
广告木马的演变
Stein说,除了研究人员定位到了攻击者的一个服务域(veryield-malyst[.]com)之外,对攻击者背后的信息知之甚少。
Confiant和Malwarebytes公司的研究小组表示,这一最新的恶意广告攻击展示了该类策略如何持续演变的,因为威胁行为者既希望能在大范围内散布恶意软件,同时也希望能通过一些混淆手段来隐藏恶意软件。而随着漏洞检测技术的不断成熟,老练的攻击者开始意识到,明显的混淆方法已经无法完成这项工作。常见的JavaScript混淆器的输出是一种非常特殊的乱码,很容易被肉眼识别。这种策略对于隐藏payload非常有用,不需要依赖十六进制编码的字符串或庞大的查找表。