Shlayer представляет собой вредоносное ПО на JavaScript, загружающееся на атакуемый компьютер после того, как жертва кликнет на рекламу. Троян маскируется под обновление для Flash Player и перенаправляет пользователей на установщик рекламного ПО. То есть, он действует и как троян, и как дроппер. В результате зараженные компьютеры начинают работать намного медленнее, а пользователям предлагается купить ненужные приложения.
В настоящее время исследователи обнаружили 191 970 вредоносных реклам, общий ущерб от которых составил порядка $1,2 млн. По их словам, киберпреступники орудуют уже несколько месяцев, но только недавно стали внедрять вредоносное ПО в рекламные изображения.
Shlayer был впервые обнаружен в феврале 2018 года исследователями компании Intego. Троян распространялся через BitTorrent-трекеры, а его главной функцией была установка на атакуемую систему дополнительного ПО. Поскольку вредонос маскировался под обновления для Flash Player, у жертв не возникало никаких подозрений.
Вредоносная кампания все еще продолжается, однако киберпреступники регулярно меняют полезную нагрузку и домены. Кто именно стоит за атаками, пока неизвестно. Исследователи из Confiant дали киберпреступной группировке условное название VeryMal по одному из используемых доменов (veryield-malyst[.]com).