Durante 2019, especialistas en seguridad en redes de la firma Kaspersky emitieron reportes sobre miles de infecciones de Shlayer, una nueva familia de troyanos, logrando evitar ataques en uno de cada diez dispositivos Mac. Aunque parecía que la amenaza había sido contenida, recientes reportes aseguran que el malware sigue activo.
En su reporte, Kaspersky menciona que los atacantes emplean un ingenioso método de distribución, desplegando Shlayer mediante redes asociadas, sitios web de entretenimiento e incluso vía Wikipedia, por lo que no sólo los usuarios que navegan por sitios web inseguros están expuestos, sino que este malware también podría llegar a los visitantes de páginas legítimas.
Aunque macOS es considerado un sistema mucho más seguro que otras opciones ampliamente utilizadas, muchos grupos de actores de amenazas logran desarrollar métodos de ataque contra los usuarios de este sistema y, durante el año pasado, las infecciones de Shlayer fueron una muestra importante de esta tendencia.
Los expertos en seguridad en redes de Kaspersky afirman que Shlayer fue el malware más activo en cualquier sistema de Apple; dedicado a la instalación de adware, Shlayer recopila búsquedas en el navegador para posteriormente alterar los resultados mostrados al usuario objetivo con el fin de mostrar más anuncios invasivos.
Respecto al proceso de infección, Kaspersky detectó que está dividido en dos fases:
- Instalación de Shlayer e instalación de una variante de adware específica
- Descarga del programa malicioso; para esto, el atacante debe forzar a la víctima a realizar la descarga mediante el sistema de distribución del malware
Los actores de amenaza suelen ofrecer Shlayer como una opción para monetizar sitios web como parte de un programa de socios, además de asegurar a los administradores de sitios web que recibirán un pago relativamente alto por cada instalación de este adware.
Acorde a los expertos en seguridad en redes de Kaspersky, el esquema funciona de la siguiente forma:
- La víctima potencial busca contenido en línea (streaming de eventos deportivos, películas en sitios pirata, etc)
- Las páginas asociadas redirigen al usuario a falsas páginas de actualización de Flash Player
- Una vez en la página falsa, la víctima descarga el malware
No obstante, esta no es la única forma de completar la infección. Los atacantes también han logrado colocar enlaces a la página falsa de Adobe Flash en plataformas legítimas como descripciones de videos en YouTube o referencias en artículos de Wikipedia. En total, Kaspersky detectó 700 dominios (legítimos e ilegales) con enlaces al sitio de descarga del malware.
A pesar de que la mayor parte de la actividad de Shlayer se concentra en Estados Unidos, también se han detectado una cantidad de ataques considerable en Alemania, Francia, Reino Unido y otros países de Europa.
Los especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) consideran que los ataques a usuarios del sistema macOS representan ganancias considerables para los atacantes, especialmente mediante campañas de ingeniería social, fáciles de desplegar incluso mediante plataformas legítimas. Por fortuna no todo son malas noticias, pues los expertos aseguran que los usuarios de este sistema operativo están menos expuestos a incidentes de robo de datos que los usuarios de sus contrapartes, aunque no está de más que los usuarios consideren el uso de otras medidas de seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad