Shlayer utilise de nouvelles techniques de propagation

Shlayer, le cheval de Troie spécialisé dans le malvertising, s’est hissé à la première place de la liste des malwares qui menacent les utilisateurs de Mac. Il est responsable de 29% des attaques sur les appareils macOS selon les observations de Kaspersky pour l’année 2019. Pour se propager il piège les visiteurs de sites web qui ont des millions de visiteurs, en particulier Youtube et Wikipedia, en les persuadant de cliquer sur des liens malveillants.

Shlayer est un downloader qui se propage en utilisant de fausses applications qui cachent son code malveillant, selon Kaspersky. Son objectif principal est de télécharger et d’installer plusieurs variantes d’adwares. Le code de ces adwares bombardent les utilisateurs avec des annonces publicitaires et interceptent les recherches des navigateurs pour modifier les résultats de recherche et afficher encore plus d’annonces.

Le top 10 des menaces de macOS de Kaspersky compte un nombre important de adwares que Shlayer installe, tels que Adware.OSX.Bnodlero, Adware.OSX.Geonei, Adware.OSX.Pirrit et Adware.OSX.Cimpli.

Processus d’infection de Shlayer

Shlayer atterrit sur les ordinateurs des usagers à travers un téléchargement malveillant. Kaspersky a précisé que les cybercriminels responsables du malware ont mis en place un système de distribution amélioré qui persuade les utilisateurs de télécharger le malware.

Shlayer

“Shlayer se propage via un réseau partenaire de millions de sites, ciblant souvent les visiteurs de sites légitimes, tels que Youtube et Wikipédia” a expliqué Kaspersky dans une analyse du code. “Sur Youtube, les liens étaient inclus dans les descriptions de vidéos, et sur Wikipédia les liens étaient cachés dans les références d’articles.”

Pour mettre ce réseau affilié en place, les opérateurs de Shlayer ont contacté les propriétaires de sites (ainsi que les individus qui étaient d’accord pour publier des vidéos sur Youtube ou modifier une page Wikipédia). Ils leur ont promis de monétiser leurs sites en échange de la promotion de liens malveillants pointant vers un téléchargement de Shlayer. Ils ont offert à ces sites des revenus plutôt élevés pour chaque installation de malware effectué par des usagers Américains. Plus de 1000 sites partenaires ont distribué Shlayer.

La plupart des campagnes de adware touche aux thèmes de divertissement. Les utilisateurs du web qui cherchent un épisode d’une série télévisée populaire ou une diffusion de sports sera redirigé vers un site frauduleux prétendant offrir de la diffusion de contenu. En réalité, les liens se trouvant sur le site distribuent des malwares.

Kaspersky a aussi remarqué des certaines pages publicitaires rediriger les victimes vers de fausses pages de mises à jour de Flash Player.

Sous le capot de Shlayer

Le téléchargement de Shlayer est assuré par 700 différents domaines dont les liens redirigent les visiteurs. La plus récente variante de Shlayer est Trojan-Downloader.OSX.Shlayer.e . Cette variante se démarque des autres car elle est codée en Python alors que les précédents version étaient codées en Bash.

shlayer

Après le téléchargement, l’utilisateur doit exécuter le fichier d’installation.

“Cependant, l’installeur standard est un script Python, plutôt rare pour un logiciel d’installation sur macOS,” ont expliqué les chercheurs. “Le dossier contenant les fichiers exécutables à l’intérieur de l’application contient deux scripts Python: gjpWvvuUD847DzQPyBI (principal) et goQWAJdbnuv6 (auxiliaire).”

Le script auxiliaire implémente le chiffrement de données dans les fonctions du malware. Ensuite, le script principal génère un unique identifiant utilisateur et système, et collecte aussi les informations concernant la version de macOS qui est utilisée. En se basant sur ces données, Les paramètres de requète GET sont générées pour télécharger le fichier ZIP contenant Shlayer.

“L’archive ZIP téléchargée vers le dossier /tmp/%(sessionID) est extraite vers le dossier /tmp/tmp en utilisant la fonction de décompression,” a expliqué Kaspersky. “L’archive ZIP contenait un ensemble d’applications avec le fichier exécutable 84cd5bba3870. Après avoir décompressé l’archive, le script Python principal utilise l’outil chmod pour assigner des permissions au fichier 84cd5bba3870 pour lui permettre de s’exécuter sur le système.”

Après cela, le cheval de Troie exécute l’ensemble des applications qui ont été téléchargé et décompressé en utilisant un outil intégré. Il supprime ensuite l’archive téléchargé et son contenu qui n’a pas été décompressé.

Seconde phase de l’adware

Shlayer pénètre le système de la victime, charge le payload principal et l’exécute. Après cela, la seconde phase de l’adware fait son apparition. Dans de récentes campagnes d’infection, Kaspersky avait remarqué que Shlayer téléchargeait la famille Adware.OSX.Cimpli.

Cimple se fait passer pour un utilitaire de Mac mais son but est d’installer une extension malveillante dans Safari et cacher les notifications de sécurité du système d’exploitation derrière une fausse fenêtre.

“En cliquant sur les boutons de la notification, l’utilisateur donne son accord pour installer l’extension,” selon les chercheurs.

L’extension se nomme ManagementMark, elle surveille les recherches en ligne des victimes et les redirige en injectant un script à l’intérieur des pages de navigation. Le code charge aussi l’outil mitmdump. Ce dernier a la permission de voir le trafic HTTPS grâce à un certificat spécial que le malware ajoute au système. Tout le trafic passant par mitmdump est traité par un script qui redirige tout les requêtes de recherches de l’utilisateur vers un proxy SOCKS5.

“L’adware Cimpli est donc bien ancré dans le système. Si le trafic ne passe pas par le serveur proxy, le code JavaScript de l’extension qui est injecté dans la page se charge de la redirection des requêtes,” selon la recherche. “Le hacker obtient l’accès aux requêtes de recherches de l’utilisateur et peut modifier les résultats du moteur de recherche pour afficher des annonces publicitaires. L’utilisateur est donc bombardé de publicités.”

Heureusement pour les utilisateurs de macOS, le but de ces campagnes d’infection est seulement l’affichage de publicités illicites et pas quelque de chose de dangereux comme le vol de données financières. Cependant, rien n’empêche les cybercriminels responsables de Shlayer de changer de méthodes.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de