Forskare har upptäckt en ny variant av Shlayer macOS malware som kan inaktivera Gatekeeper efter att infektera ett system för att distribuera osignerade nyttolast.
Denna vecka, it-säkerhet forskare från Carbon Black ‘ s Hot Analysis Unit (TAU) team säger att den senaste versionen av skadlig kod är främst förklädd som en falsk Adobe Flash uppdatering och har spridits via skadliga webbplatser, kapade domäner, och skadliga annonser.
Tre varianter av Shlayer upptäcktes först av Intego 2018 på BitTorrent-fildelning webbplatser.
Den Trojanska belånade shell-skript för att ladda ner skadlig nyttolaster och adware, oftast agerar som en pipett för OSX/MacOffers — BundleMeUp, Mughthesec, och Adload — liksom OSX/Bundlore adware.
Den nya Shlayer prover påverka Apple macOS Mojave versioner 10.10.5 att 10.14.3. Det är inte trodde att andra operativsystem, till exempel Windows, är påverkat.
Shlayer använder kodsignering — en kryptografisk digital signatur som tillskrivs programvara — för att kringgå Gatekeeper-skydd. Utvecklare under Apple Developer Program kan registrera sina program för att visa legitimitet, men tyvärr är den process som används av äkta app-skapare och hot aktörer.
Den nya malware-varianter som anländer på utsatt system som DMG-filer genom .PKG, .ISO, och .ZIP nyttolaster som är undertecknat av att använda denna teknik.
Se även: Denna Trojan som utnyttjar ett antivirusprogram för att stjäla dina uppgifter
En gång .DMG-filen har installerats, en .kommandot skript körs från en dold katalog som dekrypterar en andra skript — innehållande ännu ett skript — som sedan slutligen avrättades.
Skriptet kommer då att samla in information om systemet, inklusive macOS-versionen och unika identifierare, innan du skapar en session GUID och försöker att trappa upp sina behörighetsnivå till root med kommandot sudo hjälp av en teknik som diskuteras av forskare Patrick Wardle på Defcon 2017.
TechRepublic: Hur för att skydda och säkra din webbläsare med de Modiga webbläsare
När dessa privilegier har trappats upp skriptet kommer att försöka att inaktivera Gatekeeper med spctl och hämta fler nyttolaster, som allmänt tros vara adware, precis som i fallet med tidigare Shlayer varianter.
“Detta gör att den godkända program att köra utan att användaren behöver ingripa även om systemet är inställt att blockera okända program som hämtats från Internet,” TAU säger. “Dessutom, många av de nyttolaster som finns inom den andra etappen ladda ner signerats med ett giltigt utvecklare ID.”
CNET: Regeringen vakthund finner svag verkställighet av OSS sekretess lagar
När adware kanske inte verkar som något mer än en olägenhet, att sådan programvara — liksom den Trojanska är oinskränkt möjlighet att ladda ner andra nyttolaster-kan vara ett allvarligt hot mot din integritet och säkerhet. Om hotet aktörer valde, de kunde, till exempel, hämta skadlig programvara som kan skada systemet, cryptocurrency gruvarbetare, eller ransomware.
TAU har gett en indikator på kompromiss (IOK) lista på GitHub.
Tidigare denna månad, utvecklare Jeff Johnson visade en bugg i ett API som används av macOS Mojave som ger tillgång till Safari surfa data mapp utan skydd. Apple har erkänt problemet.
Tidigare och relaterade täckning
En av tre företag som inte kan skydda sig från dataintrång
Adobe massiva patch uppdateringen korrigeras kritiska Acrobat Reader buggar
Xiaomi elektriska skotrar sårbara för avlägsen kapning
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter