Seguridad

Conoce a Kyle y Stan, una nueva pesadilla malvada

Conoce a Kyle y Stan. No, no estoy hablando del dúo de South Park, sino de la última red de Malvertising del infierno. Es ingenius. Es pernicioso. Y amenaza tanto a usuarios de Mac como de Windows..

La publicidad maliciosa es una combinación de "malware" y "publicidad". La forma en que funciona es simple. En primer lugar, los canales de publicidad en línea legítimos se utilizan para forzar a los navegadores a descargar software malicioso. Inquietamente, las víctimas ni siquiera necesitan estar en un sitio web sospechoso. Estos anuncios maliciosos incluso se han publicado a través de sitios web tan inocuos como Amazon.com, Apple.com y ads.yahoo.com.

Kyle y Stan aprovechan la ingeniería social para bombear su computadora llena de malware no deseado y desagradable. ¿Curioso en cuanto a cómo puede defenderse? Sigue leyendo.

Cómo funciona el ataque

El ataque depende de una serie de cosas. Lo primero es convencer de alguna manera a una red de publicidad tradicional (y legítima), como DoubleClick, por Google, para publicar un anuncio que contenga código malicioso. Aunque la red publicitaria no lo detecta, este anuncio se transfiere a otros sitios legítimos, que luego se ejecuta en el navegador y luego redirige a los usuarios a sitios que ofrecen software malicioso..

El malware también determina qué sistema operativo y los navegadores se están utilizando al examinar la cadena de usuario-agente, que contiene una gran cantidad de información sobre la configuración de la computadora. Esto contiene todo, desde la resolución de la pantalla, hasta los complementos que se ejecutan en el navegador..

Una vez que el malware ha determinado el sistema operativo del usuario, toma la decisión de redirigir el navegador. Los usuarios de Mac se envían a sitios que sirven malware que es específico de OS X y se incluye como DMG, mientras que los usuarios de Windows se envían a sitios que sirven malware de Windows como archivos ejecutables.

Su navegador luego descargará automáticamente el malware. Según se informa, se trata de un paquete de software legítimo, generalmente un reproductor multimedia, además de varios paquetes de malware y un archivo de configuración que es específico para el usuario..

Como señaló la publicación del blog de Cisco que identificó inicialmente el malware, lo interesante de 'Kyle and Stan' es que también ataca a los usuarios de Mac. Estos son usuarios que tradicionalmente no han tenido que lidiar con los riesgos de seguridad que son inherentes a Microsoft Windows, y como resultado pueden ser más vulnerables al aspecto social del ataque..

El malware servido por Kyle y Stan difiere fundamentalmente en cómo operan y cómo se eliminan para cada plataforma seleccionada. ¿Curioso? Sigue leyendo.

El malware de Windows

El malware de Windows es una aplicación de Windows de 32 bits escrita en C ++. Tras la ejecución, instala varias piezas de malware, así como NewPlayer. Esto viene disfrazado como un reproductor multimedia, que es la faceta legítima que disfraza otra actividad menos que legítima. Es decir, secuestra Internet Explorer, Google Chrome y Firefox y sirve publicidades y ventanas emergentes no deseadas, y secuestra tráfico de búsqueda.

El malware de Windows servido por Kyle y Stan oculta su actividad con algo llamado Dynamic Forking. Esto funciona mediante el secuestro de procesos legítimos y los reemplaza con otra actividad. Esto permite que el malware pase por alto las características de seguridad de Windows y le permite instalar nuevo software malicioso sin que surjan sospechas. Puede encontrar una explicación más detallada de cómo funciona esto en la publicación del blog de Cisco..

Dynamic Forking es increíblemente difícil de mitigar. También muestra el nivel extremo de sofisticación de este malware en particular. Pero ¿qué hay de eliminarlo? Bueno, deshacerse de NewPlayer es un proceso bien documentado y bien entendido. Sin embargo, como se mencionó anteriormente, esto instala (y puede instalar) otros paquetes arbitrarios. Como resultado, se recomienda tener una instalación antivirus actualizada y actual. Esto está completamente documentado en nuestra Guía de eliminación de malware..

El malware de Mac

Pero ¿qué pasa con el malware de Mac? Cuando una Mac visita un sitio que está ejecutando un anuncio de Kyle y Stan, se descarga automáticamente un DMG. Dentro hay una copia de MPlayerX, un reproductor de medios legítimo que fue revisado el año pasado por mi colega, Dave LeClair..

Esto viene incluido con dos piezas de malware que no son legítimas. Ambos son secuestradores del navegador: Conduit y VSearch. Conduit tiene una apariencia de legitimidad: fue creado por una empresa real con empleados, oficinas y direcciones de correo, y el usuario tiene la opción de optar por no instalar este secuestrador de navegador en particular. No hay tal opción para VSearch, sin embargo.

El comportamiento de VSearch es consistente con la mayoría de los secuestradores de navegadores. El tráfico de búsqueda se redirige a través de sus propios portales que tienen sus propios anuncios salpicados, y los anuncios emergentes se lanzan periódicamente. Es molesto e intrusivo. Y lo más importante, es una amenaza para su privacidad. VSearch también comienza en el tiempo de ejecución, ya que se agrega un lanzador a launchctl una vez instalado.

Sin embargo, quitarlo es relativamente fácil. Simplemente suelte los siguientes artículos en la basura:

/ Library / Application Support / VSearch /Library/LaunchAgents/com.vsearch.agent.plist /Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist / Library / LaunchDaemons / Jack. plist / Library / PrivilegedHelperTools / Jack /System/Library/Frameworks/VSearch.framework

Qué puedes hacer?

Derrotar a Kyle y Stan es fácil. Solo necesitas ser increíblemente vigilante. ¿Su computadora ha descargado automáticamente un ejecutable que no esperaba? ¿Se ve sospechoso? ¿Ha sido redirigido a la página de descarga de un software con el que no está familiarizado? Estas son todas las razones para preocuparse.

También te animo a que también tengas un antivirus moderno y actualizado en tu sistema. Esto también va para los usuarios de Mac. Soy bastante aficionado al antivirus Sophos OS X.

¿Has sido golpeado por Kyle y Stan? Déjame saber al respecto. El cuadro de comentarios está debajo.

Crédito de la imagen: Cisco

Explorar más sobre: Anti-Malware, Malvertising.

« Conoce Journey, una hermosa aplicación de diario para Chrome y Android Conozca la nueva consola de juegos de Nintendo ... el interruptor de Nintendo »