Outra peça de Mac malware foi descoberto. Mais especificamente, pesquisadores de segurança veio através de uma nova variante do chamado malwares Shlayer, que tem sido direcionada aos usuários de MacOS. Shlayer é um malware multi-estágio, e em sua versão mais recente, adquiriu recursos de escalonamento de privilégios.
O malware também pode desativar o Gatekeeper para executar cargas de segundo estágio não assinadas. O malware Shlayer foi descoberto pela primeira vez em fevereiro 2018 por pesquisadores da Intego. A última variante, entretanto, foi encontrada pela Unidade de Análise de Ameaças do Negro de Fumo.
Nova variante de malware Shlayer macOS: Detalhes técnicos
O malware está sendo distribuído na forma de downloads de vários sites, disfarçado como uma atualização do Adobe Flash.
Muitos dos sites que redirecionam para as atualizações falsas estão se mascarando como sites legítimos, ou domínios seqüestrados anteriormente hospedando sites legítimos, e alguns parecem ser redirecionados de malvertisements em sites legítimos, Carbon Black disse.
As amostras analisadas pelos pesquisadores estão afetando as versões do macOS de 10.10.5 para 10.14.3, com o macOS sendo o único alvo até agora.
De acordo com o relatório:
O malware emprega vários níveis de ofuscação e é capaz de escalar privilégios. Muitos dos DMGs iniciais são assinados com um ID de desenvolvedor legítimo da Apple e usam aplicativos legítimos do sistema via bash para conduzir todas as atividades de instalação. Embora a maioria das amostras sejam arquivos DMG, também descobrimos .pkg, .iso, e cargas úteis .zip.
O script malicioso dentro do arquivo DMG é criptografado com a ajuda de base64 e irá descriptografar um segundo script criptografado AES. Este último está configurado para ser executado automaticamente após ser descriptografado.
É o segundo script que executa as seguintes atividades maliciosas, conforme o relatório:
– Coleta informações do sistema, como a versão do macOS e IOPlatformUUID (um identificador único para o sistema)
– Gera um “GUID de Sessão” usando uuidgen
– Cria um URL personalizado usando as informações geradas nas duas etapas anteriores e baixa a carga útil do segundo estágio.
– Tenta baixar a carga do arquivo zip usando curl
– Cria um diretório em / tmp para armazenar a carga útil e descompacta a carga protegida por senha (Nota: a senha zip é codificada no script por amostra)
– Torna o binário dentro do executável .app descompactado usando chmod + x
– Executa o payload usando open com os argumentos passados “s” “$ session_guid” e “$ volume_name”
– Executa um terminal killall para encerrar a janela do terminal do script em execução
Em seguida, o malware irá baixar mais cargas na forma de adware. Os pesquisadores dizem que o malware Shlayer garante que as cargas sejam executadas desativando o Gatekeeper.
Uma vez feito isso, os payloads do segundo estágio parecerão ser software da lista de permissões, pois o macOS não verificará se eles estão assinados com um ID de desenvolvedor da Apple. E caso o Gatekeeper não seja desabilitado com sucesso, os payloads serão assinados com tais IDs válidos.
Mesmo que Shlayer esteja distribuindo adware, variantes futuras podem distribuir peças mais perigosas. E depois de tudo, adware não deve ser subestimado, pois pode prejudicar o desempenho geral do macOS e pode levar a complicações adicionais.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: