Lernen Sie Kyle und Stan kennen, einen neuen Malvertising-Albtraum

Triff Kyle und Stan. Nein, ich spreche nicht von dem Töpfermundduo aus South Park, sondern eher vom neuesten Malvertising-Netzwerk aus der Hölle. Es ist einfallsreich. Es ist schädlich. Und es bedroht sowohl Mac- als auch Windows-Benutzer.

Malvertising ist ein Vorbild für "Malware" und "Werbung". Die Funktionsweise ist einfach. Erstens werden legitime Online-Werbekanäle verwendet, um Browser zum Herunterladen schädlicher Software zu zwingen. Beunruhigend müssen die Opfer nicht einmal auf einer verdächtigen Website sein. Diese schädlichen Anzeigen wurden sogar über solche harmlosen Websites wie Amazon.com, Apple.com und ads.yahoo.com geschaltet.

Kyle und Stan nutzen Social Engineering, um Ihren Computer mit unerwünschter und unangenehmer Malware zu füllen. Neugierig, wie du dich wehren kannst? Weiter lesen.

Wie der Angriff funktioniert

Der Angriff hängt von einer Reihe von Dingen ab. Die erste ist irgendwie, ein traditionelles (und legitimes) Werbenetzwerk - wie DoubleClick von Google - davon zu überzeugen, eine Anzeige mit schädlichem Code auszuführen. Diese Anzeige wird von dem Werbenetzwerk nicht erkannt und anschließend an andere seriöse Websites kaskadiert, die dann im Browser ausgeführt werden und Benutzer zu Websites weiterleiten, die schädliche Software enthalten.

Die Malware bestimmt auch, welches Betriebssystem und welche Browser verwendet werden, indem sie die Benutzer-Agent-Zeichenfolge untersucht, die eine Fülle von Informationen zur Konfiguration des Computers enthält. Dies beinhaltet alles von der Bildschirmauflösung bis zu den Plugins, die im Browser ausgeführt werden.

Sobald die Malware das Betriebssystem des Benutzers ermittelt hat, entscheidet sie, wohin der Browser umgeleitet werden soll. Mac-Benutzer werden an Websites gesendet, die Malware bereitstellen, die für OS X spezifisch ist und als DMG gebündelt wird, während Windows-Benutzer an Websites gesendet werden, die Windows-Malware als ausführbare Dateien bereitstellen.

Ihr Browser lädt dann automatisch die Malware herunter. Berichten zufolge handelt es sich dabei um ein Bündel legitimer Software - in der Regel einen Mediaplayer - neben mehreren Malware-Paketen und einer für den Benutzer spezifischen Konfigurationsdatei.

Wie der Cisco-Blogbeitrag feststellte, der die Malware anfangs feststellte, ist das Interessante an 'Kyle and Stan', dass sie auch Mac-Benutzer angreift. Hierbei handelt es sich um Benutzer, die sich normalerweise nicht mit den Sicherheitsrisiken von Microsoft Windows auseinandersetzen mussten und als Folge davon anfälliger für den sozialen Aspekt des Angriffs sind.

Die von Kyle und Stan bereitgestellte Malware unterscheidet sich grundlegend in der Funktionsweise und in der Weise, wie sie für jede Zielplattform entfernt werden. Neugierig? Weiter lesen.

Die Windows-Malware

Die Windows-Malware ist eine 32-Bit-Windows-App, die in C ++ geschrieben wurde. Bei der Ausführung werden mehrere Malware-Teile sowie NewPlayer installiert. Dies wird als Mediaplayer getarnt, der legitimen Aspekt, der andere, weniger legitime Aktivitäten tarnt. Es entführt nämlich Internet Explorer, Google Chrome und Firefox und bedient unerwünschte Werbung und Popups sowie den Suchverkehr.

Die Windows-Malware, die von Kyle und Stan bereitgestellt wird, verschleiert ihre Aktivitäten mit dem sogenannten Dynamic Forking. Dies funktioniert, indem legitime Prozesse gekapert und durch andere Aktivitäten ersetzt werden. Dadurch kann die Malware die Sicherheitsfunktionen von Windows umgehen und neue schädliche Software installieren, ohne den Verdacht zu erwecken. Eine ausführlichere Erklärung zur Funktionsweise finden Sie im Cisco-Blogpost.

Dynamic Forking ist eine unglaubliche Herausforderung, dem entgegenzuwirken. Es zeigt auch die extreme Komplexität dieser speziellen Malware. Aber was ist mit dem Entfernen? Nun, NewPlayer loszuwerden, ist ein gut dokumentierter Prozess. Wie bereits erwähnt, werden jedoch andere Pakete installiert (und können auch installiert werden). Daher wird empfohlen, über eine aktualisierte und aktuelle Antivirus-Installation zu verfügen. Dies ist vollständig in unserem Handbuch zum Entfernen von Malware dokumentiert.

Die Mac-Malware

Aber was ist mit der Mac-Malware? Wenn ein Mac eine Site besucht, auf der eine Kyle- und Stan-Anzeige läuft, wird automatisch eine DMG heruntergeladen. Darin befindet sich eine Kopie von MPlayerX, einem legitimen Mediaplayer, der letztes Jahr von meinem Kollegen Dave LeClair überprüft wurde.

Dieses Paket wird mit zwei weniger als legitimen Malware-Elementen geliefert. Beide sind Browser-Hijacker: Conduit und VSearch. Conduit verfügt über ein legitimes Furnier - es wurde von einem tatsächlichen Unternehmen mit Mitarbeitern, Büros und Postanschriften erstellt -, und der Benutzer kann die Installation dieses speziellen Browser-Hijacker ablehnen. Es gibt jedoch keine solche Option für VSearch.

Das Verhalten von VSearch stimmt mit den meisten Browser-Hijackern überein. Der Suchverkehr wird über seine eigenen Portale umgeleitet, auf denen eigene Anzeigen überspritzt werden, und Popup-Anzeigen werden regelmäßig gestartet. Es ist nervig und aufdringlich. Und was noch wichtiger ist, es ist eine Bedrohung für Ihre Privatsphäre. VSearch startet auch zur Laufzeit, sobald Launchctl nach der Installation mit einem Startprogramm versehen wird.

Das Entfernen ist jedoch relativ einfach. Legen Sie einfach die folgenden Gegenstände in den Papierkorb:

/ Library / Anwendungsunterstützung / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework

Was kannst du tun?

Kyle und Stan zu besiegen ist einfach. Sie müssen einfach unglaublich wachsam sein. Hat Ihr Computer automatisch eine ausführbare Datei heruntergeladen, die Sie nicht erwartet haben? Sieht es fischig aus? Wurden Sie zur Download-Seite einer Software weitergeleitet, mit der Sie nicht vertraut sind? Dies sind alles Gründe zur Besorgnis.

Ich empfehle Ihnen außerdem, auf Ihrem System ein modernes, aktualisiertes Antivirus-Programm auszuführen. Dies gilt auch für Mac-Benutzer. Ich mag Sophos OS X Antivirus.

Wurdest du von Kyle und Stan getroffen? Lass es mich wissen. Kommentarfeld ist unten.

Bildnachweis: Cisco

Erfahren Sie mehr über: Anti-Malware, Malvertising.