ผลิตภัณฑ์ป้องกัน Mac ของ Kaspersky ป้องกันการโจมตีโดยมัลแวร์ตระกูลโทรจัน Shlayer บนอุปกรณ์หนึ่งในสิบของปีที่แล้ว จึงเป็นภัยคุกคามที่แพร่หลายที่สุดสำหรับผู้ใช้ macOS สาเหตุหลักมาจากวิธีการเผยแพร่ ซึ่งมัลแวร์แพร่กระจายผ่านเครือข่ายพันธมิตร เว็บไซต์บันเทิง หรือแม้แต่วิกิพีเดีย สิ่งนี้เป็นการยืนยันความจริงที่ว่าแม้แต่ผู้ใช้ที่เข้าชมเว็บไซต์ที่ถูกกฎหมายเท่านั้นก็ยังต้องการการป้องกันเพิ่มเติมจากภัยคุกคามออนไลน์
แม้ว่าโดยทั่วไปแล้วระบบปฏิบัติการ macOS จะถือว่ามีความปลอดภัยมากกว่าเมื่อเทียบกับระบบปฏิบัติการอื่นๆ แต่ก็มีอาชญากรไซเบอร์จำนวนมากที่ยังคงพยายามปล้นผู้ใช้ Shlayer – ภัยคุกคาม macOS ที่แพร่หลายที่สุดในปี 2019 เป็นตัวอย่างที่ดีของสิ่งนี้ ดังที่สถิติของ Kaspersky พิสูจน์แล้ว อาวุธหลักของมันคือแอดแวร์ – โปรแกรมที่คุกคามผู้ใช้ด้วยโฆษณาที่ไม่พึงประสงค์ พวกเขายังสามารถรวบรวมและรวบรวมข้อมูลการค้นหา โดยที่พวกเขาปรับผลการค้นหาเพื่อให้สามารถแสดงข้อความโฆษณาได้มากขึ้น
ส่วนแบ่งภัยคุกคามของ Shlayer ที่มุ่งเป้าไปที่อุปกรณ์ macOS ที่ได้รับการปกป้องโดยผลิตภัณฑ์ Kaspersky ระหว่างเดือนมกราคมถึงพฤศจิกายน 2019 สูงถึง 29,28% ภัยคุกคามอื่นๆ เกือบทั้งหมดในภัยคุกคาม macOS 10 อันดับแรกคือแอดแวร์ที่ Shlayer ติดตั้ง: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit และ AdWare.OSX.Cimpli นับตั้งแต่ตรวจพบ Shlayer ครั้งแรก อัลกอริธึมที่รับผิดชอบต่อการติดเชื้อมีการเปลี่ยนแปลงเพียงเล็กน้อยเท่านั้น ในขณะที่กิจกรรมยังคงไม่เปลี่ยนแปลง
objekt | สัดส่วนของผู้ใช้ที่ถูกแฮ็ก |
HEUR:Trojan-Downloader.OSX.Shlayer.a | ลด 29.28% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Bnodlero.q | ลด 13.46% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Spc.a | ลด 10.20% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Pirrit.p | ลด 8.29% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Pirrit.j | ลด 7.98% |
ไม่ใช่ไวรัส:AdWare.OSX.Goneei.ap | ลด 7.54% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Geonei.as | ลด 7.47% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Bnodlero.t | ลด 6.49% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Pirrit.o | ลด 6.32% |
ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Bnodlero.x | ลด 6.19% |
ภัยคุกคาม 10 อันดับแรกที่มุ่งเป้าไปที่ macOS ตามส่วนแบ่งของผู้ใช้ที่ติดไวรัสโดยใช้ผลิตภัณฑ์ Kaspersky (มกราคม-พฤศจิกายน 2019)
อุปกรณ์ติดไวรัสตามกฎในสองขั้นตอน – ขั้นแรกผู้ใช้ติดตั้ง Shlayer จากนั้นมัลแวร์จะติดตั้งแอดแวร์ประเภทที่เลือก อย่างไรก็ตาม อุปกรณ์จะติดไวรัสเมื่อผู้ใช้ดาวน์โหลดโปรแกรมที่เป็นอันตรายโดยไม่ตั้งใจ เพื่อให้บรรลุเป้าหมายนี้ ผู้โจมตีได้สร้างระบบเผยแพร่ที่มีช่องทางต่างๆ มากมายเพื่อหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์
อาชญากรไซเบอร์เสนอ Shlayer ให้เป็นช่องทางในการสร้างรายได้จากไซต์ในโปรแกรมพันธมิตรจำนวนหนึ่ง โดยมีการจ่ายเงินค่อนข้างสูงสำหรับการติดตั้งแต่ละครั้งที่ทำโดยผู้ใช้ในสหรัฐฯ รูปแบบทั้งหมดทำงานดังนี้: ผู้ใช้ค้นหาตอนของละครโทรทัศน์หรือการแข่งขันฟุตบอลทางอินเทอร์เน็ต หน้า Landing Page ของโฆษณาเปลี่ยนเส้นทางเขาไปยังหน้าอัปเดต Flash Player ปลอม จากนั้นเหยื่อจะดาวน์โหลดมัลแวร์ พันธมิตรที่รับผิดชอบในการเผยแพร่ลิงค์มัลแวร์จะได้รับรางวัลเป็นการชำระเงินสำหรับการติดตั้งแต่ละครั้งที่ได้รับการอำนวยความสะดวก ในหลายกรณี ผู้ใช้ยังถูกเปลี่ยนเส้นทางไปยังหน้าที่เป็นอันตรายด้วยการอัปเดต Adobe Flash ปลอมจากไซต์ต่างๆ เช่น YouTube หรือ Wikipedia บนพอร์ทัลวิดีโอ ลิงก์ที่เป็นอันตรายแสดงอยู่ในคำอธิบายของวิดีโอ ในสารานุกรมอินเทอร์เน็ต ลิงก์เหล่านี้ถูกซ่อนไว้ในแหล่งที่มาของแต่ละบทความ
ไซต์เกือบทั้งหมดที่นำไปสู่การอัปเดต Flash Player ปลอมมีเนื้อหาเป็นภาษาอังกฤษ ซึ่งสอดคล้องกับการเป็นตัวแทนของประเทศที่มีจำนวนผู้ใช้ที่ถูกโจมตีมากที่สุด: สหรัฐอเมริกา (31%) เยอรมนี (14%) ฝรั่งเศส (10%) และบริเตนใหญ่ (10%)
โซลูชันของ Kaspersky ตรวจจับ Shlayer และวัตถุที่เกี่ยวข้อง เช่น:
- HEUR:Trojan-Downloader.OSX.Shlayer.*
- ไม่ใช่ไวรัส:HEUR:AdWare.OSX.Cimpli.*
- ไม่ใช่ไวรัส:AdWare.Script.SearchExt.*
- ไม่ใช่ไวรัส:AdWare.Python.CimpliAds.*
- ไม่ใช่ไวรัส:HEUR:AdWare.Script.MacGenerator.gen
เพื่อให้ผู้ใช้ macOS ลดความเสี่ยงที่จะถูกโจมตีโดยกลุ่มมัลแวร์นี้ ผู้เชี่ยวชาญของ Kaspersky ขอแนะนำมาตรการดังต่อไปนี้:
- ติดตั้งโปรแกรมและอัพเดตจากแหล่งที่เชื่อถือได้เท่านั้น
- ค้นหาข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์บันเทิง - ชื่อเสียงของเว็บไซต์คืออะไร และผู้ใช้รายอื่นพูดถึงเว็บไซต์นี้อย่างไร
- ใช้โซลูชันความปลอดภัยที่มีประสิทธิภาพบนอุปกรณ์ของคุณ