Новое вредоносное ПО для Mac использует стеганографию для проникновения в компьютеры

Новое вредоносное ПО для Mac использует стеганографию для проникновения в компьютеры

Большинство вредоносных программ, которые появляются в сети, нацелены на Windows, но платформа Apple не защищена. В интернете всплывает особенно подлый кусок вредоносного кода, который прячется на виду для атаки на macOS. Так называемая полезная нагрузка VeryMal проникает в компьютеры посредством файлов рекламных изображений, пропитанных полезной нагрузкой на основе стеганографии.

Для неосведомленных стеганография - это процесс интеграции текста или данных в файл изображения. Запустив операцию в обратном порядке, можно извлечь эти данные из изображения. Эти данные могут быть любыми - нет ничего по сути вредного в стеганографических изображениях или файлах изображений в целом. Когда вы добавляете вредоносный код и инструменты для его извлечения и выполнения, тогда возникают проблемы.

VeryMal появился в период с 11 по 13 января в рекламных сетях, используемых некоторыми ведущими веб-издателями. Полезная нагрузка представляет собой вредоносный код JavaScript, но он уклоняется от фильтров, прячась внутри изображения. Данное изображение представляет собой небольшую белую полоску (sscc.jpg), которая выглядит совершенно безобидной для невооруженного глаза. Когда реклама загружается, вместе с ней появляется небольшой, казалось бы, безобидный JavaScript. Этот модуль считывает пиксели изображения (через холст HTML5), чтобы воссоздать скрытый вредоносный код и выполнить его.

Вредоносный код скрывается внутри этой простой белой полосы.
Вредоносный код скрывается внутри этой простой белой полосы.

Это вредоносная программа для Mac, поэтому исходный код JavaScript проверяет наличие на компьютере семейств шрифтов Apple. Если нет, то предполагается, что реклама показывается на ПК, и дальше не идет. Если он видит шрифты Apple, процесс извлечения продолжается. Результатом выполнения кода является довольно типичная атака с перенаправлением, которая пытается обманом заставить пользователя загрузить поддельное обновление Adobe Flash. Хотя обновления Flash могут быть не лучшим троянским конем, пользователи Mac будут менее знакомы с этим типом атаки. По оценкам охранной фирмы Confiant, последствия январской атаки превысили 1,2 миллиона долларов.

Если пользователь устанавливает пакет вредоносного ПО, он в конечном итоге работает с ботом вредоносной рекламы, который работает в фоновом режиме. Он нажимает на рекламу, чтобы получить доход для тех, кто стоит за мошенничеством. Как и в случае большинства вредоносных программ, лучшая защита от VeryMal - это немного здравого смысла. Возможно, вы также захотите использовать блокировщик рекламы, что Google может сделать намного сложнее в будущем.