ZShlayer

Shlayerista on nopeasti tulossa yksi tunnetuimmista macOS-haittaohjelmien uhista, erityisesti hyökkäyskampanjan jälkeen, jossa se pystyi ohittamaan Applen notaaritarkistukset. Tehdäkseen niin, Shlayer käytti Mach-O-binääriä suorittamaan Bash-komentosarjan komentosarjan muistissa. Tämän uhkan takana olevat hakkerit ovat myös etsineet muita keinoja, jotka voisivat antaa heille mahdollisuuden kiertää staattisen allekirjoituksen tarkastukset ilmeisesti. Lopputulos on uusi Shlayer-haittaohjelmaversio, joka hyödyntää voimakkaasti hämmentyneitä Zsh-komentosarjoja liukastumalla puolustusten ohi. Turvallisuustutkijat havaitsivat uuden variantin ja nimeivät sen ZShlayeriksi.

ZShlayer näyttää merkittäviä eroja verrattuna aikaisempiin Shlayer- haittaohjelmien uhkiin. Sen sijaan, että ZShlayer toimitettaisiin .dmg-levytiedostotiedostoon asetettujen komentosarjojen sijaan, se toimitetaan normaalina Apple-asennuspakettina .dmg-tiedoston sisällä. Koska nippua ei ole notaaroitu, tutkijat totesivat, että sen on joko tarkoitus vaarantaa Mac-järjestelmät, joissa on versio 10.14 tai sitä vanhempi, tai että käyttäjät on huijattava itse korvaamaan notaarin tarkistus.

ZShlayer muodostaa yhteyden hakkereiden hallinnassa olevaan palvelimeen osoitteessa http://dqb2corklaq0k.cloudfront.net/13.226.23.203 saadakseen lopullisen hyötykuorman. Sitä ennen haittaohjelma kuitenkin käy läpi useita vaiheita ja suorittaa useita kerroksia Bash-komentosarjoja. Samanaikaisesti se kerää myös erilaisia järjestelmätietoja, kuten istunnon UID, konetunnuksen ja käyttöjärjestelmän version. Kaikki kerätyt tiedot suodatetaan palvelimelle.

ZShlayerin olemassaolo ja sen leviäminen luonnossa osoittaa, että uhkatekijät etsivät erilaisia hyökkäysvektoreita macOS-käyttäjiä vastaan, mikä tuo etualalle tarpeen monipuolisille puolustustekniikoille päättäessään tietokoneen kyberturvallisuussuojasta.