I ricercatori hanno scoperto una nuova variante del Shlayer macOS malware che è in grado di disattivare Gatekeeper dopo aver infettato un sistema per distribuire unsigned payload.
Questa settimana, la sicurezza informatica ricercatori di Carbonio Nero Minaccia di Unità di Analisi (TAU) squadra ha detto che l’ultima versione del malware è principalmente mascherato da un falso Flash di Adobe updater ed è stata la diffusione tramite siti web dannosi, dirottato domini, e malvertising.
Tre varianti di Shlayer sono stati scoperti da Intego, nel 2018, su BitTorrent siti di condivisione di file.
Il Trojan leveraged script di shell per scaricare payload dannosi e adware, più spesso agiscono come un contagocce per OSX/MacOffers — BundleMeUp, Mughthesec, e Adload-così come OSX/adware Bundlore.
Il nuovo Shlayer campioni influenza di Apple macOS Mojave versioni 10.10.5 per 10.14.3. Non si ritiene che altri sistemi operativi, come Microsoft Windows, sono coinvolti.
Shlayer utilizza la firma del codice — una crittografia firma digitale attribuito al software, al fine di bypassare Gatekeeper protezioni. Gli sviluppatori di Apple Developer Program, sono in grado di firmare le loro app per dimostrare la legittimità, ma, purtroppo, il processo è utilizzato da vera strega e minaccia di attori che di piacere.
Le nuove varianti di malware arrivare vittima sistemi di file DMG .PKG, .ISO, ed .ZIP payload che sono firmati con questa tecnica.
Vedi anche: Questo Trojan exploit software antivirus per rubare i vostri dati
Una volta che l’ .File DMG è stato installato .il comando viene eseguito lo script in una directory nascosta che decifra un secondo script — contenenti ancora un altro script — che poi viene infine eseguito.
Lo script provvederà a raccogliere le informazioni relative al sistema, tra cui una versione di macOS e identificatori univoci, prima di generare una sessione di GUID e il tentativo di far degenerare il suo livello di privilegi di root con sudo utilizzando una tecnica descritta da ricercatore Patrick Wardle a Defcon 2017.
TechRepublic: Come proteggere la vostra navigazione sul web con il Coraggioso browser
Una volta che questi privilegi sono stati aumentati, lo script tenta di disattivare Gatekeeper utilizzando spctl e scaricare ulteriori carichi, generalmente pensato per essere adware, come nel caso del passato Shlayer varianti.
“In questo modo, la white list software per eseguire senza l’intervento dell’utente, anche se il sistema è impostato per impedire unknown le applicazioni scaricate da Internet,” TAU dice. “Inoltre, molti dei carichi contenuti all’interno della seconda fase di download sono firmati con un valido developer ID.”
CNET: Governo watchdog trova la debole esecuzione di NOI normativa privacy
Mentre l’adware può non sembrare niente di più che un fastidio, un tale software, così come Trojan libero possibilità di scaricare altri carichi utili — può essere una grave minaccia per la tua privacy e la sicurezza. Se la minaccia attori scelto, si potrebbe, per esempio, il download di malware che potrebbero danneggiare sistemi di cryptocurrency minatori, o ransomware.
TAU ha fornito un indicatore di compromesso (IOC) elenco su GitHub.
All’inizio di questo mese, sviluppatore di Jeff Johnson ha rivelato un bug in un’API utilizzato da macOS Mojave, che garantisce l’accesso a Safari per i dati di navigazione senza cartella protezioni. Apple ha riconosciuto il problema.
Precedente e relativa copertura
Uno in tre imprese non possono proteggere se stessi dalla violazione dei dati
Adobe massiccia patch di aggiornamento consente di correggere critica Acrobat, Reader bug
Xiaomi scooter elettrici vulnerabili ad attacchi remoti di pirateria informatica
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati