Новая версия Mac-зловреда Shlayer найдена ИБ-специалистами компании Carbon Black. Программа использует многоэтапную атаку и отключает штатный брандмауэр операционной системы, чтобы доставить на компьютер рекламное ПО. Некоторые файлы дроппера подписаны легитимным ключом одного из разработчиков Apple, что затрудняет обнаружение зловреда. По утверждению экспертов, под угрозой заражения находятся несколько версий macOS — от 10.10.5 до 10.14.3.

Обновленный штамм распространяется через сеть криминальных сайтов и взломанных веб-ресурсов под видом обновления Adobe Flash. Полезная нагрузка представляет собой образ DMG или же файлы с расширениями .zip, .pkg и .iso. Оказавшись на компьютере, зловред последовательно запускает два скрипта, последний из которых собирает сведения об операционной системе и формирует на основании этих данных уникальную ссылку для загрузки следующих компонентов.

На второй стадии Shlayer пытается получить административные права на инфицированном устройстве через недостатки в алгоритме обновления macOS. Добившись root-привилегий, зловред отключает встроенный в ОС брандмауэр, что позволяет ему беспрепятственно загружать любые файлы на компьютер. Если избавиться от Gatekeeper не удается, Shlayer меняет тактику и доставляет полезную нагрузку с легитимной подписью разработчика.

Впервые зловред был обнаружен в феврале прошлого года экспертами компании Intego. Специалисты выявили три варианта вредоносной программы, содержащие разное количество скриптов. По мнению аналитиков, целью авторов дроппера является доход от показа несанкционированной рекламы, однако вредонос способен доставлять на зараженное устройство и другую полезную нагрузку.

Для macOS существует альтернативный брандмауэр, Little Snitch, но его владельцы тоже могут стать жертвой киберпреступников. Недавно стало известно о вредоносной кампании, которая распространяла инфицированную версию этой программы. Помимо легитимной утилиты, в состав дистрибутива был включен exe-файл, по умолчанию не проверяемый Gatekeeper. Запустив его при помощи встроенного компонента фреймворка Mono, злоумышленники похищали большое количество сведений о зараженной системе.

Категории: Вредоносные программы