Een ander stuk van Mac malware is ontdekt. Specifieker, security onderzoekers kwam over een nieuwe variant van de zogenaamde Shlayer malware, die is gericht op MacOS. Shlayer is een multi-stage malware, en in de laatste versie het is privilege escalatie mogelijkheden verworven.
De malware kan ook Gatekeeper uitschakelen om unsigned tweede fase payloads draaien. De Shlayer malware werd voor het eerst ontdekt in februari 2018 door Intego onderzoekers. De nieuwste variant echter werd gevonden door Carbon Black's Threat Analysis Unit.
Shlayer MacOS Malware New Variant: Technische Details
De malware wordt momenteel verspreid in de vorm van downloads van verschillende websites, vermomd als een Adobe Flash-update.
Veel van de sites om te leiden naar de nep-updates zijn voordoen als legitieme sites, of gekaapt domeinen voorheen hosting legitieme sites, en sommige lijken te worden omgeleid vanaf malvertisements op legitieme sites, Carbon Black zei.
De door de onderzoekers geanalyseerd monsters van invloed zijn op MacOS versies van 10.10.5 aan 10.14.3, met MacOS de enige doel tot nu toe.
Volgens het rapport:
De malware maakt gebruik van meerdere niveaus van verduistering en is in staat privilege escalatie. Veel van de oorspronkelijke DMGS zijn ondertekend met een legitieme Apple Developer ID en gebruik maken van wettelijke systeem applicaties via bash om alle installatie-activiteiten uit te voeren. Hoewel de meeste monsters waren DMG-bestanden, ontdekten we ook .pkg, .iso, en .zip payloads.
De kwaadaardige script in het bestand DMG is versleuteld met behulp van base64 en zal een tweede AES encrypted script decoderen. Dit laatste is ingesteld om automatisch na te zijn gedecodeerd worden uitgevoerd.
Het is de ze tweede script dat de volgende kwaadaardige activiteiten uitvoert, vanaf het verslag:
– Verzamelt informatie over het systeem, zoals de MacOS versie en IOPlatformUUID (een unieke identificator voor het systeem)
– Genereert een “Session GUID” met behulp van uuidgen
– Hiermee maakt u een aangepaste URL met behulp van de informatie die wordt gegenereerd in de vorige twee stappen en downloadt de tweede fase payload.
– Pogingen om het zip-bestand payload met behulp van curl downloaden
– Maakt een directory in / tmp om de lading op te slaan en ritst het met een wachtwoord beveiligde payload (Notitie: de zip wachtwoord is hardcoded in het script per monster)
– Maakt de binaire binnen de uitgepakte .app executable chmod + x
– Voert de lading met behulp van open met de doorgegeven argumenten “s” “$ session_guid” en “$ volumenaam”
– Voert een killall Terminal aan terminalvenster de lopende script te doden
Dan zal de malware meer payloads te downloaden in de vorm van adware. De onderzoekers zeggen dat Shlayer malware zorgt ervoor dat de payloads zal lopen door het uitschakelen van Gatekeeper.
Zodra dit is gebeurd, de tweede fase payloads zal lijken te whitelist software als MacOS zal niet controleren of ze zijn ondertekend met een Apple-ontwikkelaar ID. En in het geval Gatekeeper niet succesvol is uitgeschakeld, de payloads zal worden ondertekend met een geldig zulke IDs.
Hoewel Shlayer is momenteel het verspreiden van adware, toekomstige varianten kunnen distribueren gevaarlijker stukken. En uiteindelijk, adware mag niet worden onderschat als het algehele prestaties MacOS kan schaden en kan leiden tot verdere complicaties.