Rencontrez Kyle et Stan. Non, je ne parle pas du duo de South Park, mais plutôt du dernier réseau Malvertising de l'enfer. C'est ingenius. C'est pernicieux. Et il menace les utilisateurs Mac et Windows.
Malvertising est un portmanteau de «malware» et de «publicité». La façon dont cela fonctionne est simple. Premièrement, des canaux de publicité en ligne légitimes sont utilisés afin de forcer les navigateurs à télécharger des logiciels malveillants. Fait troublant, les victimes n'ont même pas besoin d'être sur un site Web suspect. Ces publicités malveillantes ont même été diffusées sur des sites Web aussi inoffensifs que Amazon.com, Apple.com et ads.yahoo.com.
Kyle et Stan profitent de l'ingénierie sociale afin de pomper votre ordinateur plein de logiciels malveillants indésirables et désagréables. Curieux de savoir comment vous pouvez vous défendre? Continuer à lire.
Comment fonctionne l'attaque
L'attaque dépend d'un certain nombre de choses. La première est en quelque sorte de convaincre un réseau publicitaire traditionnel (et légitime) - tel que DoubleClick, par Google - de diffuser une publicité contenant du code malveillant. Non détectée par le réseau publicitaire, cette annonce est ensuite diffusée en cascade vers d'autres sites légitimes, qui sont ensuite exécutés dans le navigateur, puis redirigés vers des sites hébergeant des logiciels malveillants.
Le logiciel malveillant détermine également le système d'exploitation et les navigateurs utilisés en examinant la chaîne user-agent, qui contient une mine d'informations sur la configuration de l'ordinateur. Cela contient tout de la résolution de l'écran, aux plugins qui s'exécutent sur le navigateur.
Une fois que le logiciel malveillant a déterminé le système d'exploitation de l'utilisateur, il décide alors où rediriger le navigateur. Les utilisateurs Mac sont envoyés sur des sites qui diffusent des malwares spécifiques à OS X et sont regroupés sous forme de DMG, tandis que les utilisateurs Windows sont envoyés sur des sites qui diffusent des logiciels malveillants Windows en tant que fichiers exécutables.
Votre navigateur téléchargera automatiquement le logiciel malveillant. Il s'agit d'un ensemble de logiciels légitimes - généralement un lecteur multimédia - en plus de plusieurs logiciels malveillants et d'un fichier de configuration spécifique à l'utilisateur.
Comme l'a remarqué le blog de Cisco qui a initialement identifié le malware, la chose intéressante à propos de 'Kyle and Stan' est qu'il attaque aussi les utilisateurs de Mac. Ce sont des utilisateurs qui, traditionnellement, n'ont pas eu à faire face aux risques de sécurité inhérents à Microsoft Windows et, par conséquent, peuvent être plus vulnérables à l'aspect social de l'attaque.
Le malware utilisé par Kyle et Stan diffère fondamentalement dans la façon dont ils opèrent, et comment ils sont supprimés pour chaque plate-forme ciblée. Curieuse? Continuer à lire.
Le logiciel malveillant Windows
Le logiciel malveillant Windows est une application Windows 32 bits écrite en C ++. Lors de l'exécution, il installe plusieurs logiciels malveillants, ainsi que NewPlayer. Cela vient déguisé en acteur médiatique, ce qui est la facette légitime qui dissimule d'autres activités non légitimes. À savoir, il détourne Internet Explorer, Google Chrome et Firefox et sert des publicités et des popups indésirables, et détourne le trafic de recherche.
Le malware Windows servi par Kyle et Stan obscurcit son activité avec quelque chose appelé Dynamic Forking. Cela fonctionne en détournant les processus légitimes et les remplace par d'autres activités. Cela permet au programme malveillant de contourner les fonctions de sécurité de Windows et lui permet d'installer de nouveaux logiciels malveillants sans susciter de suspicion. Une explication plus détaillée de la façon dont cela fonctionne peut être trouvée sur le blog de Cisco.
Dynamic Forking est incroyablement difficile à atténuer. Il montre également le niveau extrême de sophistication de ce malware particulier. Mais qu'en est-il de l'enlever? Eh bien, se débarrasser de NewPlayer est un processus bien documenté et bien compris. Cependant, comme mentionné précédemment, cela installe (et peut installer) d'autres paquets arbitraires. Par conséquent, il est conseillé d'avoir une installation antivirus mise à jour et en cours. Ceci est documenté entièrement dans notre Guide de suppression des logiciels malveillants.
Le Mac Malware
Mais qu'en est-il du malware Mac? Lorsqu'un Mac visite un site qui publie une annonce Kyle et Stan, un fichier DMG est automatiquement téléchargé. Inside est une copie de MPlayerX, un lecteur média légitime qui a été revu l'an dernier par mon collègue, Dave LeClair.
Ceci est livré avec deux morceaux de logiciels malveillants moins légitimes. Les deux sont des pirates de navigateur: Conduit et VSearch. Conduit a un vernis de légitimité - il est créé par une entreprise réelle avec des employés, des bureaux et des adresses postales - et l'utilisateur a la possibilité de se désengager de l'installation de ce pirate de navigateur particulier. Cependant, il n'y a pas une telle option pour VSearch.
Le comportement de VSearch est compatible avec la plupart des pirates de navigateur. Le trafic de recherche est redirigé à travers leurs propres portails qui ont leurs propres annonces éclaboussées, et des publicités contextuelles sont lancées périodiquement. C'est embêtant et intrusif. Et plus important encore, c'est une menace pour votre vie privée. VSearch démarre également à l'exécution, car un lanceur est ajouté à launchctl une fois installé.
Le retirer est relativement facile cependant. Il suffit de déposer les éléments suivants dans la corbeille:
/ Bibliothèque / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Bibliothèque / LaunchDaemons / Jack. plist / Bibliothèque / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework
Que pouvez-vous faire?
Vaincre Kyle et Stan est facile. Vous avez juste besoin d'être incroyablement vigilant. Votre ordinateur a-t-il automatiquement téléchargé un exécutable auquel vous ne vous attendiez pas? Est-ce que ça a l'air doré? Avez-vous été redirigé vers la page de téléchargement d'un logiciel que vous ne connaissez pas? Ce sont toutes des raisons d'être concerné.
Je vous encourage également à avoir un antivirus moderne et mis à jour fonctionnant sur votre système. Cela vaut également pour les utilisateurs de Mac. Je suis très friand de l'antivirus Sophos OS X.
Avez-vous été frappé par Kyle et Stan? Faites-moi savoir. La boîte de commentaires est ci-dessous.
Crédit d'image: Cisco