ZShlayer

Shlayrist on kiiresti saamas üks kurikuulsamaid macOS-i pahavaraohte, eriti pärast rünnakukampaaniat, kus ta suutis mööda minna Apple'i notariaalsetest kontrollidest. Selleks kasutas Shlayer mälus Bashi shelliskripti käivitamiseks binaarset Mach-O. Selle ohu taga olevad häkkerid on otsinud ka muid võimalusi, mis võimaldaksid neil staatilise allkirja kontrollist ilmselt mööda hiilida. Lõpptulemus on uus Shlayeri pahavara variant, mis kasutab tugevalt segamini löödud Zsh-skripte, et libiseda mööda kaitsetest. Turvauurijad avastasid uue variandi ja panid sellele nimeks ZShlayer.

ZShlayer näitab märkimisväärseid erinevusi võrreldes varasemate Shlayeri pahavaraohtudega. Selle asemel, et toimetada .dmg kettaga pildifaili paigutatud shelliskriptidena, tarnitakse ZShlayer tavalise Apple'i installikomplektina .dmg-faili sees. Kuna kimp pole notariaalselt kinnitatud, leidsid teadlased, et selle eesmärk on kas kompromiteerida Maci süsteeme, milles töötab versioon 10.14 ja vanem versioon, või tuleb kasutajaid petma notariaalkontrolli alistama.

Lõpliku kasuliku koormuse edastamiseks loob ZShlayer häkkerite kontrolli all oleva serveri aadressil http://dqb2corklaq0k.cloudfront.net/13.226.23.203. Enne seda läbib pahavara aga mitu etappi ja käivitab mitu kihti Bashi shelliskripte. Samal ajal kogub see ka mitmesuguseid süsteemiandmeid, nagu seansi UID, masina ID ja OS-i versioon. Kogu kogutud teave filtreeritakse serverisse.

ZShlayeri olemasolu ja looduses levimine näitab, et ohus osalejad jälitavad erinevaid ründevektoreid macOS-i kasutajate vastu, tuues esiplaanile vajaduse mitmekesiste kaitsetehnikate järele, kui otsustate arvuti küberturvalisuse kaitse üle.