Et andet stykke af Mac malware er blevet opdaget. Mere specifikt, sikkerhed forskere stødte på en ny variant af den såkaldte Shlayer malware, som har været rettet mod MacOS brugere. Shlayer er en flertrins malware, og i dens seneste udgave det har erhvervet rettighedsforøgelse kapaciteter.
Den malware kan også deaktivere Gatekeeper til at køre unsigned andet trin nyttelast. Den Shlayer malware blev først opdaget i februar 2018 af Intego forskere. Den seneste variant dog blev fundet af Carbon Blacks Threat Analysis Unit.
Shlayer Macos Malware Ny Variant: Tekniske Detaljer
Den malware er ved at blive distribueret i form af downloads fra forskellige hjemmesider, forklædt som en Adobe Flash opdatering.
Mange af de steder, omdirigere til de falske opdateringer er blevet maskeret som legitime websteder, eller kapret domæner tidligere vært legitime websteder, og nogle synes at blive omdirigeret fra malvertisements på legitime websteder, Carbon Black sagde.
De analyserede af forskerne prøver påvirker MacOS versioner fra 10.10.5 til 10.14.3, med MacOS er den eneste mål hidtil.
Ifølge rapporten:
Malware anvender flere niveauer af formørkelse og er i stand til rettighedsforøgelse. Mange af de oprindelige DMG'er er underskrevet med en legitim Apple developer-id og anvende lovlige system applikationer via bash til at gennemføre alle installation aktivitet. Selv om de fleste prøver var DMG-filer, Vi opdagede også .pkg, .iso, og .zip nyttelast.
Den skadeligt script inden DMG-filen er krypteret ved hjælp af base64 og vil dekryptere en anden AES krypteret script. Sidstnævnte er indstillet til at blive henrettet automatisk efter at være blevet dekrypteret.
Det er hun andet script, der udfører følgende ondsindede aktiviteter, som pr rapporten:
– Indsamler oplysninger system som MacOS versionen og IOPlatformUUID (et entydigt id for systemet)
– Genererer en ”Session GUID” ved hjælp uuidgen
– Opretter en brugerdefineret webadresse ved hjælp af oplysninger, der genereres i de to foregående trin og henter den anden fase nyttelast.
– Forsøg på at hente zip-filen nyttelast hjælp krøller
– Opretter en mappe i / tmp til at gemme nyttelasten og unzips password-beskyttede nyttelast (note: zip password hardcodede i scriptet per prøve)
– Gør den binære inden den udpakkede .app eksekverbare ved hjælp chmod + x
– Udfører nyttelasten hjælp åbent med de beståede argumenter ”s” ”$ session_guid” og ”$ VOLUME_NAME”
– Udfører en killall Terminal at dræbe kørende script terminal vindue
Så malware vil hente flere nyttelast i form af adware. Forskerne siger, at Shlayer malware sørger for nyttelast vil køre ved at deaktivere Gatekeeper.
Når dette er gjort, anden fase nyttelast vil synes at blive whitelisted software som MacOS vil ikke kontrollere, om de er underskrevet med en Apple developer-id. Og i tilfælde af Gatekeeper er ikke lykkedes deaktiveret, de nyttelast vil blive indgået med gyldige sådanne id'er.
Selvom Shlayer øjeblikket distribuerer adware, fremtidige varianter kan distribuere mere farlige stykker. Og efter alt, adware bør ikke undervurderes, da det kan skade MacOS samlede præstation og kan føre til yderligere komplikationer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: