macOS genellikle daha güvenli bir sistem olarak kabul edilse de siber suçlular bu sistemi kullananlardan da faydalanmak için şanslarını deniyor. 2019’un en yaygın macOS tehdidi olan Shlayer, bunun en iyi örneklerinden biri. Bu tehdit özellikle reklam yazılımı konusunda odaklanıyor. Bu yazılımlar yasa dışı reklamlar göstererek, tarayıcı sorgularını toplayıp daha da fazla reklama yönlendiren arama sonuçları gösterilmesine neden olarak kullanıcıları rahatsız ediyor.
Ocak – Kasım 2019 döneminde düzenlenen tüm saldırılar arasında Shlayer’ın oranı yüzde 29,29 oldu. İlk onda yer alan macOS tehditlerinin neredeyse tamamı da Shlayer’in kurduğu AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit and AdWare.OSX.Cimpli gibi reklam yazılımlarıydı. Shlayer’ın bulaşma algoritması, ilk tespit edildiğinden bu yana pek değişmedi. Buna rağmen yazılımın aktifliğinin çok azalmaması, kullanıcıların bu tehdide karşı kendilerini mutlaka koruması gerektiğini gösteriyor.
Bulaşma süreci genellikle işi aşamada tamamlanıyor. Öncelikle kullanıcılar Shlayer’ı kuruyor, ardından zararlı yazılım çeşitli reklam yazılımlarını indiriyor. Yazılımın cihaza bulaşması için ise kullanıcının farkında olmadan zararlı programı indirmesi gerekiyor. Shlayer’ın ardındaki tehdit grubu bunun için bir zararlı yazılım dağıtım sistemi kurmuş. Bu sistem ile kullanıcılar birden fazla kanal üzerinden zararlı yazılımı indirmeye yönlendiriliyor.
Shlayer bir dizi dosya ortaklığı programıyla web sitelerine para kazandırma yöntemi olarak sunuluyor. Amerikalı kullanıcıların yaptığı indirme başına yüksek ücret teklif ediliyor. Bu şekilde, 1000’den fazla “ortak site” Shlayer’ın yayılmasını sağlıyor. Bu yöntem şu şekilde işliyor: Kullanıcı bir TV dizisi veya futbol maçı aradığında reklam sayfaları onu sahte Flash Player güncelleme sayfalarına yönlendiriyor. Kurban buradan zararlı yazılımı indiriyor. Zararlı yazılım bağlantısını dağıtan site, indiren kişi başına ücret alıyor.
YouTube gibi milyonlarca kişinin takip ettiği büyük platformlarda da zararlı bağlantılar video açıklamalarına eklenirken, Wikipedia’da ise bu tür bağlantılar makale referansları arasına gizleniyor. Bu bağlantılar da sahte Adobe Flash güncelleme sayfasına yönlendiriyor. Bu bağlantılara tıklayan kullanıcılar ayrıca Shlayer indirme sayfalarına yönlendiriliyor. Kaspersky kullanıcıları ayrıca pek çok yasal web sitesi içerisine yerleştirilmiş, zararlı kod içeren 700’den fazla siteye yönlendiren çok sayıda bağlantı tespit etti.
Bu sitelerin neredeyse tamamı, İngilizce içerikli sahte bir Flash Player sayfasına yönlendiriyor. Bu durum, yazılımdan en çok etkilenen ülkelerin sırasıyla ABD (%31), Almanya (%14), Fransa (%10) ve İngiltere (%10) olmasıyla da örtüşüyor.
