別のMacマルウェアが発見されました. すなわち, セキュリティ研究者は、いわゆるShlayerマルウェアの新しい亜種に出くわしました, macOSユーザーをターゲットにしています. Shlayerは多段階のマルウェアです, 最新バージョンでは、特権昇格機能を取得しています.
マルウェアは、ゲートキーパーが署名されていない第2段階のペイロードを実行できないようにすることもできます. Shlayerマルウェアは2月に最初に発見されました 2018 インテゴの研究者による. ただし、最新の亜種はカーボンブラックの脅威分析ユニットによって発見されました.
ShlayermacOSマルウェアの新しいバリアント: 技術的な詳細
マルウェアは現在、さまざまなWebサイトからのダウンロードの形で配布されています, AdobeFlashアップデートを装った.
偽の更新にリダイレクトするサイトの多くは、正当なサイトになりすましています, または以前は正当なサイトをホストしていたドメインを乗っ取った, また、正当なサイトの不正行為からリダイレクトされているように見えるものもあります, カーボンブラックは言った.
研究者によって分析されたサンプルは、からのmacOSバージョンに影響を与えています 10.10.5 に 10.14.3, これまでのところ、macOSが唯一のターゲットです.
レポートによると:
マルウェアは複数のレベルの難読化を採用しており、特権を昇格させることができます. 初期のDMGの多くは、正規のApple開発者IDで署名されており、bashを介して正規のシステムアプリケーションを使用して、すべてのインストールアクティビティを実行します。. ほとんどのサンプルはDMGファイルでしたが, .pkgも発見しました, .iso, および.zipペイロード.
DMGファイル内の悪意のあるスクリプトはbase64を使用して暗号化され、2番目のAES暗号化スクリプトを復号化します. 後者は、復号化後に自動的に実行されるように設定されています.
次の悪意のある活動を実行するのは彼女の2番目のスクリプトです, に従って レポート:
– macOSバージョンやIOPlatformUUIDなどのシステム情報を収集します (システムの一意の識別子)
– uuidgenを使用して「セッションGUID」を生成します
– 前の2つの手順で生成された情報を使用してカスタムURLを作成し、第2段階のペイロードをダウンロードします.
– curlを使用してzipファイルのペイロードをダウンロードしようとします
– ペイロードを保存するディレクトリを/tmpに作成し、パスワードで保護されたペイロードを解凍します (ノート: zipパスワードは、サンプルごとにスクリプトにハードコードされています)
– chmod + xを使用して、解凍された.app内のバイナリを実行可能にします
– 渡された引数「s」「$session_guid」および「$volume_name」を使用してopenを使用してペイロードを実行します
– killall Terminalを実行して、実行中のスクリプトのターミナルウィンドウを強制終了します
その後、マルウェアはアドウェアの形でより多くのペイロードをダウンロードします. 研究者によると、Shlayerマルウェアは、Gatekeeperを無効にすることでペイロードが確実に実行されるようにします.
これが行われると, macOSはApple開発者IDで署名されているかどうかをチェックしないため、第2段階のペイロードはホワイトリストに登録されたソフトウェアのように見えます. ゲートキーパーが正常に無効にされなかった場合, ペイロードは有効なそのようなIDで署名されます.
Shlayerは現在アドウェアを配布していますが, 将来の亜種はより危険な部分を配布する可能性があります. そして結局, アドウェアは、macOSの全体的なパフォーマンスを損ない、さらに複雑になる可能性があるため、過小評価しないでください。.