ZShlayer

Shlayer se rychle stává jednou z nejznámějších malwarových hrozeb pro macOS, zejména po útočné kampani, kde dokázal obejít kontroly notářství společnosti Apple. K tomu Shlayer použil binární Mach-O k provedení skriptu prostředí Bash v paměti. Hackeři, kteří za touto hrozbou stojí, také hledali další cesty, které by jim mohly zjevně obejít kontroly statických podpisů. Konečným výsledkem je nová varianta malwaru Shlayer, která využívá těžce popletené skripty Zsh k proklouznutí minulých obran. Bezpečnostní vědci detekovali novou variantu a pojmenovali ji ZShlayer.

ZShlayer zobrazuje významné rozdíly ve srovnání s dřívějšími malwarovými hrozbami Shlayer . Místo toho, aby byl ZShlayer dodáván jako skripty prostředí umístěné do souboru obrazu disku .dmg, je dodáván jako normální instalační balíček Apple uvnitř souboru .dmg. Vzhledem k tomu, že balíček není notářsky ověřen, vědci zjistili, že je buď zamýšleno kompromitovat systémy Mac s verzí 10.14 a nižší, nebo že uživatelé budou muset být podvedeni, aby si ověřili notářskou kontrolu.

ZShlayer se připojuje k serveru pod kontrolou hackerů na adrese - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, aby doručil konečné užitečné zatížení. Před tím však malware prochází několika fázemi a spouští více vrstev skriptů prostředí Bash. Současně také shromažďuje různá systémová data, jako je UID relace, ID stroje a verze OS. Všechny shromážděné informace se exfiltrují na server.

Existence ZShlayer a její propagace ve volné přírodě ukazuje, že aktéři hrozeb sledují různé útokové vektory proti uživatelům systému macOS, což při rozhodování o ochraně vašeho počítače před kybernetickou bezpečností přináší do popředí potřebu různých obranných technik.