ZShlayer

Shlayer er hurtigt ved at blive en af de mest berygtede macOS-malware-trusler, især efter angrebskampagnen, hvor den var i stand til at omgå Apples Notarization-kontrol. For at gøre dette brugte Shlayer en Mach-O-binær til at udføre et Bash-shell-script i hukommelsen. Hackerne bag denne trussel har også været på udkig efter andre veje, der tilsyneladende kan give dem mulighed for at omgå kontrol med statisk signatur. Slutresultatet er en ny Shlayer-malware-variant, der udnytter stærkt tilslørede Zsh-scripts til at glide forbi forsvar. Sikkerhedsforskere opdagede den nye variant og kaldte den ZShlayer.

ZShlayer viser betydelige forskelle sammenlignet med tidligere Shlayer- malware-trusler. I stedet for at blive leveret som shell-scripts placeret på en .dmg disk image-fil, leveres ZShlayer som en normal Apple-installationspakke inde i en .dmg-fil. På grund af at pakken ikke blev notariseret, besluttede forskerne, at det enten er beregnet til at kompromittere Mac-systemer, der kører version 10.14 og lavere, eller at brugerne bliver nødt til at blive narret til at tilsidesætte notariseringskontrollen selv.

ZShlayer opretter forbindelse til en server under hackernes kontrol på - http://dqb2corklaq0k.cloudfront.net/13.226.23.203 for at levere den endelige nyttelast. Før det går malware imidlertid gennem flere faser og udfører flere lag af Bash shell-scripts. Samtidig indsamler den også forskellige systemdata såsom session UID, maskine-id og OS-version. Alle indsamlede oplysninger exfiltreres til serveren.

Eksistensen af ZShlayer og dets udbredelse i naturen viser, at trusselaktører forfølger forskellige angrebsvektorer mod macOS-brugere, der bringer forrest behovet for forskellige forsvarsteknikker, når de beslutter at beskytte cybersikkerhed på din computer.