Ein weiteres Stück von Mac Malware wurde entdeckt,. Genauer, Sicherheitsforscher stießen auf eine neue Variante der sogenannten Shlayer Malware, welche wurde Targeting macOS Benutzer. Shlayer ist ein mehrstufiger Malware, und in seiner neuesten Version hat es privilege escalation Fähigkeiten erworben.
Die Malware kann auch Torwächter deaktivieren unsigned zweite Stufe Nutzlasten laufen. Die Shlayer Malware wurde zum ersten Mal im Februar entdeckt 2018 von Intego Forscher. Die neueste Variante jedoch von Carbon Black Threat Analysis Unit gefunden wurde.
Shlayer macOS Malware neue Variante: Technische Daten
Die Malware wird derzeit in Form von Downloads von verschiedenen Websites verteilt, als Adobe Flash-Update getarnt.
Viele der Seiten auf die gefälschte Updates Umleiten haben als legitime Websites wurden getarnt, oder entführte Domains Hosting früher legitime Websites, und einige erscheinen werden von malvertisements umgeleitet auf legitime Websites, Carbon Black, sagte.
Die Proben von den Forschern analysiert beeinflussen macOS Versionen von 10.10.5 zu 10.14.3, mit macOS das einzige Ziel so weit zu sein.
Nach dem Bericht:
Die Malware beschäftigt mehrere Ebenen der Verschleierung und ist in der Lage privilege escalation. Viele der anfänglichen DMGs sind mit einer legitimen Apple-Entwickler-ID und verwenden legitime Systemanwendungen über bash unterzeichnen alle Installationsaktivitäten zu leiten. Obwohl die meisten Proben waren DMG-Dateien, wir haben auch entdeckt .pkg, .iso, und .zip Nutzlasten.
Das schädliche Skript innerhalb der DMG-Datei wird mit Hilfe von Base64 verschlüsselt und ein zweites AES verschlüsselte Skript entschlüsseln. Letzteres wird automatisch ausgeführt wird, nachdem entschlüsselt.
Es ist das sie zweite Skript, das die folgenden bösartigen Aktivitäten durchführt, gem der Bericht:
– Sammelt Systeminformationen wie die macOS Version und IOPlatformUUID (eine eindeutige Kennung für das System)
– Erzeugt eine „Session GUID“ mit uuidgen
– Erstellt eine eigene URL der erzeugten Informationen in den vorhergehenden zwei Schritten und lädt die zweite Stufe unter Verwendung von Nutzlast.
– Versuche, die Zip-Datei Nutzlast mit curl zum Herunterladen
– Erstellt ein Verzeichnis in / tmp die Nutzlast zu speichern und dekomprimiert die kennwortgeschützte Nutzlast (Notiz: das Zip-Passwort wird im Skript pro Probe fest einprogrammiert)
– Macht die binäre innerhalb der entpackten .app ausführbar mit chmod + x
– Führt die Nutzlast mit den übergebenen Argumenten „s“ „$ session_guid“ und „$ volume_name mit Open“
– Führt einen killall-Terminal des laufenden Skripts Terminal-Fenster zu töten
Dann wird die Malware mehr Nutzlasten in Form von Adware downloaden. Die Forscher sagen, dass Shlayer Malware sicher, die Nutzlasten macht läuft Torwächter durch Deaktivieren.
Sobald dies geschehen ist, die zweite Stufe Nutzlasten erscheinen die weiße Liste Software als macOS wird nicht prüfen, ob sie mit einer Apple-Entwickler-ID angemeldet sind. Und für den Fall Torwächter nicht erfolgreich deaktiviert, die Nutzlasten mit gültiger solchen IDs unterzeichnet werden.
Obwohl Shlayer derzeit Adware Verteilung, zukünftige Varianten können gefährliche Stücke ausschütten. Und schließlich, Adware sollte nicht unterschätzt werden, da sie die Gesamtleistung macOS die schaden können und zu weiteren Komplikationen führen.