Un altro pezzo di malware per Mac è stato scoperto. Più specificamente, ricercatori di sicurezza sono imbattuto in una nuova variante del cosiddetto di malware Shlayer, che ha preso di mira gli utenti MacOS. Shlayer è un malware multistadio, e nella sua ultima versione ha acquisito capacità di scalata di privilegi.
Il malware può anche disattivare gatekeeper per eseguire senza segno carichi di secondo stadio. Il malware Shlayer è stato scoperto nel mese di febbraio 2018 dai ricercatori Intego. L'ultima variante però è stato trovato dall'Unità Analisi Threat Carbon Black.
Shlayer MacOS Malware nuova variante: Dettagli tecnici
Il malware è attualmente in corso di distribuzione sotto forma di download da vari siti web, travestito da un aggiornamento di Adobe Flash.
Molti dei siti reindirizzamento agli aggiornamenti falsi hanno fatto passare come siti legittimi, o domini dirottati in precedenza l'hosting di siti legittimi, e alcuni sembrano essere reindirizzati da malvertisements su siti legittimi, Carbon Black ha detto.
I campioni analizzati dai ricercatori stanno interessando le versioni MacOS 10.10.5 a 10.14.3, con MacOS essendo l'unico bersaglio finora.
Secondo il rapporto:
Il malware utilizza più livelli di offuscamento ed è in grado di escalation dei privilegi. Molti dei DMG iniziali sono firmati con un ID Apple sviluppatore legittimo e utilizzare le applicazioni di sistema legittimi tramite bash per condurre tutte le attività di installazione. Anche se la maggior parte dei campioni sono stati file DMG, abbiamo anche scoperto .pkg, .iso, e payload .zip.
Lo script dannoso all'interno del file DMG è crittografato con l'aiuto di Base64 e decifrare un secondo script AES criptato. Quest'ultimo è impostato per essere eseguito automaticamente dopo essere decifrato.
E 'il secondo script lei che svolge le seguenti attività dannose, secondo il rapporto:
– informazioni di sistema raccoglie come la versione MacOS e IOPlatformUUID (un identificatore univoco per il sistema)
– Genera una “sessione GUID” utilizzando uuidgen
– Crea un URL personalizzato utilizzando le informazioni generate nei due passaggi precedenti e download della seconda fase payload.
– I tentativi di scaricare il file zip payload utilizzando ricciolo
– Crea una directory in / tmp per memorizzare il carico utile e decomprime il carico utile protetto da password (Nota: la password zip è codificato nello script per campione)
– Rende il file binario eseguibile all'interno della .app decompressi usando chmod + x
– Esegue il payload utilizzando aperto con gli argomenti passati “S” “$ session_guid” e “$ volume_name”
– Esegue un terminale killall uccidere finestra di terminale dello script in esecuzione
Poi il malware scaricare altri carichi utili in forma di adware. I ricercatori dicono che Shlayer il malware si assicura che il payload verrà eseguito disabilitando Gatekeeper.
Una volta fatto questo, la seconda fase carichi appariranno essere inseriti nella whitelist di software come MacOS non sarà verificare se essi sono firmati con un ID sviluppatore di Apple. E nel caso Gatekeeper non è disattivato con successo, i carichi saranno firmati con valide tali ID.
Anche se Shlayer sta attualmente distribuendo adware, varianti future possono essere distribuendo pezzi più pericolosi. E dopo tutto, adware non è da sottovalutare in quanto può danneggiare le prestazioni complessive di MacOS e può portare a ulteriori complicazioni.