Otra pieza de malware para Mac ha descubierto. Más específicamente, los investigadores de seguridad encontraron con una nueva variante del llamado software malicioso Shlayer, que ha estado atacando a los usuarios de MacOS. Shlayer es un malware de múltiples etapas, y en su última versión que ha adquirido la capacidad de escalada de privilegios.
El malware también puede desactivar el controlador de acceso para ejecutar cargas útiles de segunda etapa sin firmar. El software malicioso Shlayer fue descubierto en febrero 2018 por investigadores de Intego. La última variante sin embargo fue encontrado por la Unidad de Análisis de Amenazas de Negro de Humo.
Shlayer macOS nueva variante de malware: Detalles Técnicos
El malware está siendo distribuido en forma de descargas de varios sitios web, disfrazado como una actualización de Flash.
Muchos de los sitios de redirección a las actualizaciones falsas han sido haciéndose pasar como sitios legítimos, o dominios secuestrados anteriormente alojamiento de sitios legítimos, y algunos parecen ser redireccionado de malvertisements en sitios legítimos, Negro de Humo dijo.
Las muestras analizadas por los investigadores están afectando versiones MacOS de 10.10.5 a 10.14.3, con MacOS ser el único destino todavía.
De acuerdo con el informe:
El software malicioso emplea múltiples niveles de ofuscación y es capaz de escalada de privilegios. Muchos de los DMGS iniciales están firmados con una legítima ID de desarrollador de Apple y utilizar las aplicaciones del sistema legítimos a través de fiesta para llevar a cabo todas las actividades de la instalación. Aunque la mayoría de las muestras eran archivos DMG, también descubrimos .pkg, .iso, y cargas útiles .zip.
El script malicioso en el archivo DMG se cifra con la ayuda de base 64 y descifrará una segunda escritura de cifrado AES. Este último se fija para ser ejecutado automáticamente después de haber sido desencriptado.
Es el segundo guión que ella que realiza las siguientes actividades maliciosas, según el informe:
– Recoge la información del sistema como la versión de MacOS y IOPlatformUUID (un identificador único para el sistema de)
– Genera una “sesión GUID” usando uuidgen
– Crea una URL personalizada utilizando la información generada en los dos pasos anteriores y descargas de la segunda fase de carga útil.
– Los intentos de descargar el archivo zip de carga útil utilizando rizo
– Crea un directorio en / tmp para almacenar la carga útil y baja la cremallera de la carga útil protegido por contraseña (Nota: la contraseña postal está codificado en la secuencia de comandos por muestra)
– Hace que el binario dentro del ejecutable .app descomprimido usando chmod + x
– Ejecuta la carga útil usando abierta con los argumentos que se pasan “s” “$ session_guid” y “$ volume_name”
– Realiza una terminal killall para matar ventana de terminal de la secuencia de comandos se ejecuta
A continuación, el malware se descarga más cargas en forma de programas publicitarios. Los investigadores dicen que Shlayer software malicioso se asegura que las cargas útiles se ejecutarán mediante la desactivación de Gatekeeper.
Una vez hecho esto, parecerán estar en la lista blanca de software como macOS la segunda etapa cargas útiles no comprobará si están firmados con un desarrollador de ID de Apple. Y en caso de Gatekeeper no está deshabilitado con éxito, las cargas útiles serán firmados con dichos identificadores válidos.
A pesar de que Shlayer está distribuyendo programas publicitarios, futuras variantes se pueden distribuyendo piezas más peligrosas. Y después de todo, adware no debe subestimarse, ya que puede dañar el rendimiento general de MacOS y puede llevar a otras complicaciones.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: