ZShlayer

Shlayer brzo postaje jedna od najpoznatijih prijetnji zlonamjernim softverom macOS, posebno nakon kampanje napada, gdje je uspio zaobići Appleove provjere javnog bilježništva. Da bi to učinio, Shlayer je koristio Mach-O binarni program da bi izvršio skriptu Bash školjke u memoriji. Hakeri koji stoje iza ove prijetnje također traže druge načine koji bi im mogli omogućiti da očito zaobiđu provjere statičkog potpisa. Krajnji rezultat je nova inačica zlonamjernog softvera Shlayer koja koristi teško zamaskirane Zsh skripte za prolazak prošlih obrana. Istraživači sigurnosti otkrili su novu varijantu i nazvali je ZShlayer.

ZShlayer prikazuje značajne razlike u usporedbi s ranijim prijetnjama zlonamjernim softverom Shlayer . Umjesto da se isporučuje kao skripte ljuske smještene u datoteci slike .dmg diska, ZShlayer se isporučuje kao uobičajeni Appleov instalacijski snop unutar .dmg datoteke. Zbog toga što paket nije ovjeren kod javnog bilježnika, istraživači su utvrdili da je on ili namijenjen kompromitiranju Mac sustava s verzijom 10.14 i starijom ili da će korisnici morati biti prevareni da sami nadjačaju provjeru ovjere.

ZShlayer se povezuje s poslužiteljem pod kontrolom hakera na - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, kako bi isporučio konačni teret. Prije toga, međutim, zlonamjerni softver prolazi kroz nekoliko faza i izvršava više slojeva skripti Bash shell. Istovremeno, on također prikuplja razne sistemske podatke poput UID-a sesije, ID-a stroja i verzije OS-a. Sve prikupljene informacije eksprimiraju se na poslužitelj.

Postojanje ZShlayera i njegovo širenje u divljini pokazuje da akteri prijetnje slijede različite vektore napada na korisnike MacOS-a, stavljajući u prvi plan potrebu za raznim tehnikama obrane prilikom odlučivanja o kibernetičkoj zaštiti vašeg računala.