Forskere har opdaget en ny variant af Shlayer macOS-malware, som er i stand til at deaktivere Gatekeeper efter inficere et system til at installere signerede nyttelast.
I denne uge, cybersecurity forskere fra Carbon Black ‘ s Threat Analysis Unit (TAU) team sagde, at den seneste version af malware er primært forklædt som en falsk Adobe Flash-opdatering og er blevet spredes via ondsindede websteder, kapret domæner, og malvertising.
Tre varianter af Shlayer blev først opdaget af Intego i 2018 på BitTorrent-fil-sharing sites.
Den Trojanske gearede shell-scripts til at hente ondsindet nyttelast og adware, der oftest fungerer som en pipette til OSX/MacOffers — BundleMeUp, Mughthesec, og Adload — såvel som OSX/Bundlore adware.
Den nye Shlayer prøver påvirke Apple macOS Mojave versioner 10.10.5 at 10.14.3. Det menes ikke, at andre operativsystemer, såsom Microsoft Windows, er påvirket.
Shlayer bruger code signing-en kryptografisk digital signatur, som tilskrives software — med henblik på at omgå Gatekeeper beskyttelse. Udviklere under Apple Developer Program er i stand til at underskrive deres apps til at bevise, legitimitet, men desværre, den proces, der bruges af ægte app-skabere og trussel aktører er ens.
Den nye malware-varianter ankomme på offer-systemer som DMG filer igennem .PKG, .ISO, og .ZIP nyttelast, som er indgået ved hjælp af denne teknik.
Se også: Denne Trojan udnytter antivirus software til at stjæle dine data
Når .DMG-filen er blevet installeret, vises der en .kommando-script er startet fra en skjult mappe, der dekrypterer et andet script — indeholder endnu et script — som er så endelig udført.
Scriptet vil derefter indsamle oplysninger om systemet, herunder macOS version og unikke identifikatorer, før du genererer en session GUID og forsøger at eskalere sin privilegieniveau, der skal root med kommandoen sudo hjælp af en teknik, der blev drøftet af forsker Patrick Wardle på Defcon 2017.
TechRepublic: Hvordan til at beskytte og sikre din web browsing med den Modige browser
Når disse privilegier er eskaleret, vil scriptet forsøger at deaktivere Gatekeeper hjælp spctl og hente yderligere nyttelast, menes generelt at være adware, lige som i tilfælde af tidligere Shlayer varianter.
“Dette giver whitelisten software til at køre uden indgriben fra brugeren, selv hvis systemet er indstillet til at afvise ukendte programmer, der er hentet fra Internettet,” siger TAU. “Desuden er mange af de ladninger, der er indeholdt i den anden fase download er signeret med et gyldigt udvikler-ID”.
CNET: Regeringens vagthund finder en svag håndhævelse af OS privatliv regler
Mens adware ikke kan synes som noget mere end en gene, sådan software-samt den Trojan er uhindret mulighed for at downloade andre nyttelast — kan være en alvorlig trussel mod din sikkerhed og privatlivets fred. Hvis truslen aktører, der vælger, hvad de kunne, for eksempel, at hente malware, som kan skade systemer, cryptocurrency minearbejdere, eller ransomware.
TAU har givet en indikator for kompromis (IOC) liste på GitHub.
Tidligere i denne måned, udvikler Jeff Johnson afsløret en fejl i en API, der bruges af macOS Mojave, som giver adgang til Safari browseren data mappe uden beskyttelse. Apple har erkendt problemet.
Tidligere og relaterede dækning
En ud af tre virksomheder, der ikke kan beskytte sig mod brud på datasikkerheden
Adobe ‘ s massive patch opdatering løser kritiske Acrobat, Reader fejl
Xiaomi el-scootere sårbare over for ekstern kapring
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre