חברת האבטחה קספרסקי אומרת שבשנת 2019 הטרויאני Shlayer הדביק אחד מכל עשרה משתמשי Mac, ופתח את הדלת לאפליקציות זדוניות שמתחבאות מאחורי הודעות שגיאה מזויפות על משתמשים שצריכים לעדכן פלאש.
לפי חברת האבטחה Kapersky, מחשבי Mac היו היעד התכוף של מה שמכונה ה-Shlayer Trojan. החברה מדווחת כי זה פעיל לפחות מאז תחילת 2018, אבל ב-2019 ספציפית זה היה האיום הנפוץ ביותר על macOS. בסביבות 10% מכל מחשבי המק הותקפו באמצעותו, ובעצמו, Shlayer מייצג 30% מכלל הטרויאנים שזוהו ב-macOS.
ה-Shlayer Trojan הוא מנגנון מסירה למגוון מטענים של תוכנות זדוניות. זה נכנס למק ואז, למרות שלא פוגע ספציפית במכונה עצמה, הוא מביא קוד זדוני אחר, בדרך כלל תוכנת פרסום.
מנקודת המבט של המשתמש, ישנם שלושה שלבים למה שקורה. הראשון הוא שהם לוחצים על קישור לאתר שמתחיל הורדה של ה-Shlayer Trojan למק של המשתמש. של קספרסקידו"ח אומרש"אלפי אתרים" כוללים את ההורדה הזו, בדרך כלל בגלל שהאתרים שותפים לפושעי סייבר.
עם זאת, אתרים לגיטימיים יכולים להוסיף גם את זה.
"[אלה כוללים] YouTube, שבו קישורים לאתר הזדוני נכללו בתיאורי הסרטונים", אומר קספרסקיבדוח שלה, "ווויקיפדיה, שבה קישורים כאלה הוסתרו בהפניות של המאמרים."
בדרך כלל קישורים מובילים את המשתמשים לדפי פרסום שמנסים לשכנע אותם להוריד תוכנה. לפי קספרסקי, שיטה נפוצה היא להציג הודעות מזויפות על כך ש-Adobe Flash לא מעודכן. כפתור "הורד פלאש" מוריד למעשה את הטרויאני.
הודעת עדכון פלאש מזויפת באתר. (מקור: קספרסקי)
לאחר ההורדה, המשתמש מתבקש להתקין אפליקציה. עם זאת, הוא אינו פועל לפי נוהל ההתקנה הרגיל של macOS. במקום ללחוץ פעמיים כדי להתקין, המשתמש מופנה ללחוץ לחיצה ימנית ראשונה ולבחורפתח את החבילה.
לאחר מכן, כאשר הוא הותקן, ה-Shlayer Trojan עצמו מוריד תוכנות פרסום או אפליקציות זדוניות אחרות כאלה. אלה עדיין אפליקציות חדשות שמורידות למק, ולכן בתיאוריה לא ניתן להתקין אותן ללא רשות המשתמש - אבל יש דרך לעקוף את זה.
סוג אחד של תוכנות זדוניות שה-Shlayer Trojan מתקין הוא הרחבת Safari וה-Mac אכן שואל אם אתה בטוח שאתה רוצה להשתמש בו. עם זאת, בעוד ש-macOS מזהירה כי מדובר בתוסף לא מזוהה, Shlayer מציפה את ההודעה הזו בתיבת דו-שיח מזויפת האומרת שההתקנה הושלמה.
משתמשים רואים כפתור "בסדר" ולוחצים עליו, אך למעשה הם לוחצים על אאֵמוּןלחצן ש-macOS למעשה מציגה. הם אומרים למק שזה בסדר להתקין את התוכנה הזו, אז זה קורה.
השלב האחרון הוא שכרגע, משתמש ה-Mac יכול להיות מופגז בפרסומות. כל גלישה יכולה להיות מושפעת גם מהצגת מודעות ממוקדות.
"[מאז פברואר 2018] אספנו כמעט 32,000 דגימות זדוניות שונות של הטרויאני", אומר קספרסקי. "לאחר שלמדנו את משפחת Shlayer, אנו יכולים להסיק שפלטפורמת macOS היא מקור טוב להכנסה עבור פושעי סייבר."
משמאל: מה שהמשתמש רואה. מימין: מה ה-Mac מציג בפועל (מקור: קספרסקי)
באופן משמעותי, קספרסקי אומר שלמרות שהטרויאני זוהה לפני כמעט שנתיים, הוא עדיין נפוץ.
"אלגוריתם הפעולה השתנה מעט מאז שליייר התגלה לראשונה, וגם פעילותו לא ירדה בהרבה", ממשיכה החברה. "[מספר] הזיהויים נשאר באותה רמה כמו בחודשים הראשונים לאחר גילוי התוכנה הזדונית."
בעוד קספרסקי מדווחת שהטרויאני הספציפי הזה פועל בערך באותה רמה כמו תמיד, דוח נפרד מ-Malwarebytes באפריל 2019 טוען כיתוכנה זדונית של Mac בסך הכלגדל מאוד.
