Conoce a Kyle y Stan, una nueva pesadilla de Malvertising

Anuncio

Anuncio
Anuncio

Conoce a Kyle y Stan. No, no estoy hablando del dúo de bocacalles de South Park, sino de la última red de Malvertising del infierno. Es ingenioso. Es pernicioso Y amenaza a los usuarios de Mac y Windows.

Malvertising es un acrónimo de 'malware' y 'publicidad'. La forma en que funciona es simple. En primer lugar, se utilizan canales legítimos de publicidad en línea para obligar a los navegadores a descargar software malicioso. Es preocupante que las víctimas ni siquiera necesiten estar en un sitio web sospechoso. Estos anuncios maliciosos incluso han sido servidos a través de sitios web tan inocuos como Amazon.com, Apple.com y ads.yahoo.com.

Kyle y Stan aprovechan la ingeniería social para bombear su computadora llena de malware no deseado y desagradable. ¿Tienes curiosidad sobre cómo puedes luchar? Sigue leyendo.

Cómo funciona el ataque

El ataque depende de varias cosas. El primero es, de alguna manera, convencer a una red de publicidad tradicional (y legítima), como DoubleClick, de Google, para que ejecute un anuncio que contenga código malicioso. Mientras no sea detectado por la red publicitaria, este anuncio se conecta en cascada a otros sitios legítimos, que luego se ejecuta en el navegador y luego redirecciona a los usuarios a sitios que prestan servicios de software malicioso.

El malware también determina qué sistema operativo y navegadores se utilizan al examinar la cadena de agente de usuario, que contiene una gran cantidad de información sobre la configuración de la computadora. Esto contiene todo, desde la resolución de pantalla hasta los complementos que se ejecutan en el navegador.

kas-ataque

Una vez que el malware ha determinado el sistema operativo del usuario, toma la decisión de redirigir el navegador. Los usuarios de Mac se envían a sitios que ofrecen malware que es específico de OS X y se incluye como un DMG, mientras que los usuarios de Windows se envían a sitios que sirven malware de Windows como archivos ejecutables.

Su navegador luego descargará automáticamente el malware. Se informa que se trata de un paquete de software legítimo, generalmente un reproductor multimedia, además de varios paquetes de malware y un archivo de configuración específico para el usuario.

Como la publicación de blog de Cisco que inicialmente identificó el malware comentó, lo interesante de 'Kyle y Stan' es que también ataca a los usuarios de Mac. Estos son usuarios que tradicionalmente no han tenido que lidiar con los riesgos de seguridad inherentes a Microsoft Windows y, como resultado, pueden ser más vulnerables al aspecto social del ataque.

El malware servido por Kyle y Stan difiere fundamentalmente en cómo operan y cómo se eliminan para cada plataforma. ¿Curioso? Sigue leyendo.

El malware de Windows

El malware de Windows es una aplicación de Windows de 32 bits escrita en C ++. Tras la ejecución, instala varios elementos de malware, así como NewPlayer. Esto viene disfrazado como un reproductor multimedia, que es la faceta legítima que disfraza otras actividades, menos que legítimas. A saber, secuestra Internet Explorer, Google Chrome y Firefox y sirve publicidades y ventanas emergentes no deseadas, y secuestra el tráfico de búsqueda.

kas-win

El malware de Windows servido por Kyle y Stan ofusca su actividad con algo llamado Dynamic Forking. Esto funciona secuestrando procesos legítimos y reemplazándolos con otra actividad. Esto permite que el malware eluda las características de seguridad de Windows y le permite instalar nuevo software malicioso sin levantar sospechas. Puede encontrar una explicación más detallada de cómo funciona esto en la publicación del blog de Cisco.

Dynamic Forking es increíblemente desafiante para mitigar. También muestra el nivel extremo de sofisticación de este malware en particular. Pero, ¿qué hay de eliminarlo? Bueno, deshacerse de NewPlayer es un proceso bien documentado y bien entendido. Sin embargo, como se mencionó anteriormente, esto instala (y puede instalar) otros paquetes arbitrarios. Como resultado, se le aconseja tener una instalación antivirus actualizada y actualizada. Esto está documentado completamente en nuestra Guía de eliminación de malware.

El malware de Mac

Pero, ¿qué pasa con el malware de Mac? Cuando una Mac visita un sitio que ejecuta un anuncio de Kyle y Stan, se descarga automáticamente un DMG. En el interior hay una copia de MPlayerX, un reproductor multimedia legítimo que fue revisado el año pasado por mi colega, Dave LeClair.

Esto viene incluido con dos piezas de malware poco legítimas. Ambos son secuestradores de navegador: Conduit y VSearch. Conduit tiene un barniz de legitimidad, creado por una empresa real con empleados, oficinas y direcciones postales, y el usuario tiene la opción de optar por no instalar este secuestrador de navegador en particular. Sin embargo, no existe tal opción para VSearch.

kas-mac

El comportamiento de VSearch es consistente con la mayoría de los secuestradores de navegador. El tráfico de búsqueda se redirige a través de sus propios portales que tienen sus propios anuncios salpicados, y los anuncios emergentes se lanzan periódicamente. Es molesto e intrusivo. Y más importante aún, es una amenaza para su privacidad. VSearch también se inicia en tiempo de ejecución, ya que se agrega un iniciador a launchctl una vez instalado.

Sin embargo, eliminarlo es relativamente fácil. Simplemente coloque los siguientes artículos en la papelera:

 / Library / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework 

¿Qué puedes hacer?

Derrotar a Kyle y Stan es fácil. Solo necesitas ser increíblemente vigilante. ¿Su computadora ha descargado automáticamente un ejecutable que no esperaba? ¿Se ve sospechoso? ¿Lo han redireccionado a la página de descarga de un software con el que no está familiarizado? Estas son todas las razones para estar preocupado.

También te animo a que también tengas un antivirus actualizado y moderno ejecutándose en tu sistema. Esto también se aplica a los usuarios de Mac. Soy bastante aficionado al antivirus Sophos OS X.

¿Has sido golpeado por Kyle y Stan? Déjame saber sobre eso. El cuadro de comentarios está debajo.

Crédito de la imagen: Cisco

In this article