El troyano Shlayer ataca a uno de cada diez usuarios de macOS

Durante casi dos años, el troyano Shlayer ha sido la amenaza más extendida en la plataforma macOS. Solo en 2019, uno de cada diez usuarios de las soluciones de seguridad para Mac de Kaspersky se topó con este malware al menos una vez, y en relación con todas las detecciones de malware realizadas en este sistema operativo, su cuota es de casi el 30%. Los primeros ejemplares de esta familia se detectaron en febrero de 2018, y hasta ahora, se han recopilado casi 32.000 muestras maliciosas diferentes del troyano. También se han identificado 143 dominios de servidores de administración.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Shlayer se especializa en la instalación de programas de adware que molestan a los usuarios con anuncios ilícitos, interceptan las consultas del navegador de los usuarios, y modifican los resultados de búsqueda para distribuir aún más adware. El adware que instala incluye AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit y AdWare.OSX.Cimpli.

La difusión del malware es una parte importante de su ciclo de vida, y los creadores de Shalyer han tratado este problema con mucho cuidado. Shlayer se ofrece como una forma de monetizar sitios web en varios programas de afiliación, con un pago relativamente alto por cada instalación de malware realizada por usuarios estadounidenses, lo que lleva a más de 1.000 "sitios afiliados" que distribuyen Shlayer. Este esquema funciona de la siguiente manera: un usuario busca un episodio de una serie de televisión o un partido de fútbol, y las páginas publicitarias los redirigen a páginas falsas de actualización de Flash Player. Desde aquí, la víctima descargaría el malware. Para cada instalación de este tipo, el partner que distribuyó enlaces al malware recibe un pago por instalación.

Otros esquemas conducen a una página falsa de actualización de Adobe Flash que redirige a los usuarios a varios servicios online con millones de audiencia, como YouTube, donde se incluyeron enlaces al sitio web malicioso en las descripciones de los videos, y Wikipedia, donde dichos enlaces estaban ocultos en las referencias de los artículos. Los usuarios que hicieron clic en estos enlaces también serían redirigidos a las páginas de destino de descarga de Shlayer. Los investigadores de Kaspersky encontraron 700 dominios con contenido malicioso, cuyos enlaces se colocaron en una variedad de sitios web legítimos.

Las estadísticas recopiladas muestran que la mayoría de los ataques de Shlayer (31%) afectan a usuarios en Estados Unidos, seguidos de usuarios en Alemania, con el 14%; en Francia, con el 10%; y en Inglaterra, con el 10%. Esto es consistente con los términos de los programas de afiliados que entregan este malware, así como con el hecho de que casi todos los sitios que conducen a páginas con un reproductor Flash falso eran en inglés.