数千个网站在传播macOS恶意软件

Shlayer是一种智能恶意软件传播系统，通过合作伙伴网络、娱乐网站甚至是维基百科网站进行传播，表明即使用户仅访问合法网站，仍然需要额外的在线安全保护。

尽管传统上认为macOS是一种更安全的操作系统，但仍有网络犯罪分子试图从macOS用户的利益中获利。 根据卡巴斯基的统计数据，2019年传播最广泛的macOS威胁Shlayer就是一个很好的例子。这种威胁专门在用户计算机上安装广告软件。这种恶意软件会带来大量非法广告来恐吓用户，并通过拦截和手机用户浏览器查询结果，修改搜索结果来传播更多广告信息。

卡巴斯基产品在2019年1月-11月检测到的针对macOS设备的所有攻击中，Shlayer的攻击所占份额几乎达到三分之一（29.28%），几乎所有排名前十位的macOS威胁都是Shlayer安装的广告软件，包括：AdWare.OSX.Bnodlero,、AdWare.OSX.Geonei、 AdWare.OSX.Pirrit 和AdWare.OSX.Cimpli。此外，从Shlayer首次被检测到，其感染算法几乎没有变化，但其活动情况几乎没有减少，使得其成为用户需要特别防御的一种威胁。

卡巴斯基macOS安全产品用户遭遇的排名前十位的威胁，2019年1月-11月

感染过程通常包括两个阶段——首先，用户安装Shlayer，之后恶意软件会安装一个选定类型的广告软件。但是，设备感染却是始于不知情的用户下载恶意程序。为了实现安装，Shlayer幕后的威胁组织建立了一个恶意软件传播系统，其中有许多渠道引导用户下载恶意软件。

Shlayer 是一种通过文件合作伙伴计划让网站变现的方法，对于美国用户进行的每次恶意软件安装所支付的佣金较高，促使1,000多个“合作伙伴站点”都在传播Shlayer。此方案的工作原理如下：有用户想要观看一部电视剧或异常球赛，广告落地页面将用户重定向到假冒的Flash播放器更新页面。受害者就会从这里下载恶意软件。于每个此类安装，分发恶意软件链接的合作伙伴都会收到安装佣金。

Shlayer的落地页面示例

其他方案也会将用户指引到假冒的Adobe Flash更新页面，重定向资源包括多个拥有数百万用户的大型在线服务，包括YouTube（指向恶意网站的链接包含在视频描述中）维基百科（这类链接隐藏在文章的参考文献中）。点击这些链接的用户也会被重定向到Shlayer的下载落地页面。卡巴斯基研究人员发现了700个带有恶意内容的域名，这些域名的链接被放置在各种合法网站上。

包含恶意链接的YouTube视频和维基百科页面

几乎所有被引导到的假冒的Flash Player更新网站都包含英语内容。这也与用户受到威胁影响最大的国家相对应，分别为美国（31%）、德国（14%）、法国（10%）和英国（10%）。

Shlayer受害者的地理分布，2018年2月至2019年10月

“macOS平台是网络罪犯一个良好的收入来源，他们在不断寻找新的欺骗用户的方法，并积极利用社交工程技巧来传播他们的恶意软件。这一案例表明，即使在合法站点上也可能发现此类威胁。但对macOS用户而言，幸运的是，针对macOS的传播最广泛的威胁当前围绕着提供非法广告，而不是诸如窃取财务数据之类的更危险的事情。一个好的网络安全解决方案可以保护用户免受此类威胁的侵害，让用户的按网络搜索体验变得更安全和愉快，”卡巴斯基安全分析师Anton Ivanov说。

卡巴斯基解决方案将Shlayer及其安装的威胁检测为如下结果：

• HEUR:Trojan-Downloader.OSX.Shlayer.*
• not-a-virus:HEUR:AdWare.OSX.Cimpli.*
• not-a-virus:AdWare.Script.SearchExt.*
• not-a-virus:AdWare.Python.CimpliAds.*
• not-a-virus:HEUR:AdWare.Script.MacGenerator.gen

对于该木马家族的更多详情，请访问Securelist.com.

为了降低遭到诸如Shlayer这类木马感染的风险，卡巴斯基建议：

• 仅从收信人的来源安装程序和进行更新
• 查找有关您想要访问的娱乐网站的更多信息：在互联网上扫描其信誉，并尝试寻找有关其信誉的反馈
• 使用可靠的安全解决方案，例如卡巴斯基安全云。这类安全解决方案不仅能够为Mac计算机提供高级保护，还可以保护PC计算机和移动设备。