Jaromir Miko Die Mac-Schutzprodukte von Kaspersky verhinderten im vergangenen Jahr Angriffe der Shlayer-Trojaner-Malware-Familie auf jedem zehnten Gerät. Damit war es die am weitesten verbreitete Bedrohung für macOS-Benutzer. Dies liegt vor allem an der Verbreitungsmethode, bei der die Malware über ein Partnernetzwerk, Unterhaltungswebsites oder sogar Wikipedia verbreitet wird. Dies bestätigt die Tatsache, dass auch Benutzer, die nur legale Websites besuchen, zusätzlichen Schutz vor Online-Bedrohungen benötigen.
Fotogalerie
Obwohl das macOS-Betriebssystem allgemein als sicherer im Vergleich zu anderen gilt, gibt es immer noch zahlreiche Cyberkriminelle, die versuchen, seine Benutzer auszurauben. Shlayer – die am weitesten verbreitete macOS-Bedrohung des Jahres 2019 – ist ein gutes Beispiel dafür, wie die Statistiken von Kaspersky belegen. Seine Hauptwaffe ist Adware – Programme, die Benutzer mit unerwünschter Werbung terrorisieren. Sie sind außerdem in der Lage, Suchinformationen zu erfassen und zu sammeln, auf deren Grundlage sie die Suchergebnisse so anpassen, dass sie noch mehr Werbebotschaften anzeigen können.
Shlayers Anteil an Bedrohungen, die zwischen Januar und November 2019 auf macOS-Geräte abzielten, die durch Kaspersky-Produkte geschützt wurden, erreichte 29,28 %. Bei fast allen anderen Bedrohungen in den Top 10 der macOS-Bedrohungen handelt es sich um Adware, die Shlayer installiert: AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit und AdWare.OSX.Cimpli. Seit der ersten Entdeckung von Shlayer hat sich sein für die Infektion verantwortlicher Algorithmus nur minimal verändert, während seine Aktivität unverändert geblieben ist.
| Objekt | Anteil gehackter Benutzer |
| HEUR:Trojan-Downloader.OSX.Shlayer.a | 29.28% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.q | 13.46% |
| not-a-virus:HEUR:AdWare.OSX.Spc.a | 10.20% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.p | 8.29% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.j | 7.98% |
| not-a-virus:AdWare.OSX.Geonei.ap | 7.54% |
| not-a-virus:HEUR:AdWare.OSX.Geonei.as | 7.47% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.t | 6.49% |
| not-a-virus:HEUR:AdWare.OSX.Pirrit.o | 6.32% |
| not-a-virus:HEUR:AdWare.OSX.Bnodlero.x | 6.19% |
Die 10 größten Bedrohungen für macOS nach Anteil der infizierten Benutzer, die Kaspersky-Produkte verwenden (Januar-November 2019)
Die Infektion des Geräts erfolgt durch die Regel in zwei Phasen: Zuerst installiert der Benutzer Shlayer und dann installiert die Malware die ausgewählte Art von Adware. Allerdings wird das Gerät infiziert, wenn der Benutzer versehentlich ein Schadprogramm herunterlädt. Um dies zu erreichen, haben Angreifer ein Verbreitungssystem mit einer Reihe von Kanälen geschaffen, die Benutzer dazu verleiten, Malware herunterzuladen.
Cyberkriminelle bieten Shlayer als Möglichkeit an, die Website in einer Reihe von Partnerprogrammen zu monetarisieren, indem US-Benutzer für jede Installation eine relativ hohe Zahlung zahlen. Das ganze Schema funktioniert so: Ein Nutzer durchsucht das Internet nach einer Folge einer Fernsehserie oder einem Fußballspiel. Die Werbe-Landingpage leitet ihn auf gefälschte Flash Player-Updateseiten weiter. Von dort lädt das Opfer die Schadsoftware herunter. Der Partner, der für die Verbreitung des Malware-Links verantwortlich ist, wird für jede vermittelte Installation mit einer Vergütung belohnt. In vielen Fällen wurden Benutzer auch mit einem gefälschten Adobe Flash-Update von Websites wie YouTube oder Wikipedia auf schädliche Seiten weitergeleitet. Auf dem Videoportal wurden schädliche Links in der Beschreibung der Videos aufgeführt, in der Internet-Enzyklopädie waren die Links in den Quellen einzelner Artikel versteckt.
Fast alle Websites, die zu dem gefälschten Flash Player-Update führten, hatten Inhalte auf Englisch. Dies entspricht der Darstellung der Länder mit den meisten angegriffenen Nutzern: USA (31 %), Deutschland (14 %), Frankreich (10 %) und Großbritannien (10 %).
Kaspersky-Lösungen erkennen Shlayer und verwandte Objekte wie:
- HEUR:Trojan-Downloader.OSX.Shlayer.*
- not-a-virus:HEUR:AdWare.OSX.Cimpli.*
- not-a-virus:AdWare.Script.SearchExt.*
- not-a-virus:AdWare.Python.CimpliAds.*
- not-a-virus:HEUR:AdWare.Script.MacGenerator.gen
Um macOS-Nutzern das Risiko eines Angriffs durch diese Malware-Familie zu minimieren, empfehlen Kaspersky-Experten folgende Maßnahmen:
- Installieren Sie nur Programme und Updates von vertrauenswürdigen Quellen
- Erfahren Sie mehr über die Unterhaltungsseite – welchen Ruf sie hat und was andere Benutzer darüber sagen
- Nutzen Sie wirksame Sicherheitslösungen auf Ihren Geräten
