Un autre morceau de malware Mac a été découvert. Plus précisement, les chercheurs en sécurité ont rencontré une nouvelle variante de la soi-disant programmes malveillants Shlayer, qui a pris pour cible les utilisateurs macos. Shlayer est un des logiciels malveillants à plusieurs étages, et dans sa dernière version, il a acquis des capacités d'escalade de privilèges.
Le logiciel malveillant peut également désactiver Gatekeeper pour exécuter des charges utiles de second étage non signés. Le logiciel malveillant a été découvert Shlayer en Février 2018 par des chercheurs Intego. La dernière variante a cependant été trouvée par l'unité d'analyse des menaces de noir de carbone.
Shlayer macOS Malware nouvelle variante: Détails techniques
Le logiciel malveillant est actuellement distribué sous forme de téléchargements de divers sites Web, déguisé en une mise à jour d'Adobe Flash.
Bon nombre des sites redirigeant vers les mises à jour ont été fausses se faisant passer pour des sites légitimes, ou domaines d'hébergement détournés auparavant des sites légitimes, et certains semblent être redirigés à partir malvertisements sur des sites légitimes, Carbon Black dit.
Les échantillons analysés par les chercheurs affectent les versions de Mac OS 10.10.5 à 10.14.3, avec macOS étant la seule cible jusqu'à présent.
Selon le rapport:
Le logiciel malveillant utilise plusieurs niveaux de faux-fuyants et est capable d'escalade de privilèges. Un grand nombre de DMG initiales sont signés avec un identifiant de développeur d'Apple légitime et utiliser des applications légitimes du système via bash pour mener toutes les activités d'installation. Bien que la plupart des échantillons étaient des fichiers DMG, nous avons également découvert .pkg, .iso, et des charges utiles .zip.
Le script malveillant dans le fichier DMG est crypté avec l'aide de base64 et décrypter un second script chiffré AES. Celui-ci est configuré pour être exécuté automatiquement après avoir été décrypté.
Il est le second script, elle qui exécute les activités malveillantes suivantes, comme par le rapport:
– informations sur le système Recueille telles que la version Mac OS, IOPlatformUUID (un identificateur unique pour le système)
– Génère un « GUID session » à l'aide uuidgen
– Crée une URL personnalisée en utilisant les informations générées dans les deux étapes précédentes et télécharge la deuxième charge utile de scène.
– Les tentatives pour télécharger la charge utile du fichier zip en utilisant boucle
– Crée un répertoire dans / tmp pour stocker la charge utile et décompresse la charge utile de mot de passe protégé (Remarque: le mot de passe zip est codé en dur dans le script par échantillon)
– Fait le binaire à l'intérieur de l'exécutable décompressé .app utilisant chmod + x
– Exécute la charge utile en utilisant ouvert avec les arguments passés les « s » de « session_guid de $ » et « nom_volume de $ »
– Réalise un terminal killall pour tuer la fenêtre de terminal du script en cours d'exécution
Ensuite, le logiciel malveillant télécharge plus les charges utiles sous la forme de logiciels publicitaires. Les chercheurs affirment que les logiciels malveillants Shlayer vérifie que les charges utiles se déroulera en désactivant Gatekeeper.
Une fois cela fait, la deuxième charges utiles de la scène apparaîtront à un logiciel whitelisted comme macOS ne vérifiera pas si elles sont signées avec un ID de développeur d'Apple. Et en cas Gatekeeper est pas désactivé avec succès, les charges utiles seront signés avec valides ces ID.
Même si Shlayer distribue actuellement les logiciels publicitaires, futures variantes peuvent être plus dangereuses distribuent des pièces. Et apres tout, adware ne doit pas être sous-estimée car cela pourrait nuire à la performance globale de macOS et peut conduire à des complications.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: