ZShlayer

Shlayer is snel een van de meest beruchte macOS-malwarebedreigingen aan het worden, vooral na de aanvalscampagne, waar het de notarisatiecontroles van Apple kon omzeilen. Om dit te doen, gebruikte Shlayer een Mach-O-binair bestand om een Bash-shellscript in het geheugen uit te voeren. De hackers achter deze dreiging zijn ook op zoek geweest naar andere manieren om statische handtekeningcontroles blijkbaar te omzeilen. Het eindresultaat is een nieuwe Shlayer-malwarevariant die zwaar versluierde Zsh-scripts gebruikt om langs verdedigingen te glippen. Beveiligingsonderzoekers hebben de nieuwe variant ontdekt en deze ZShlayer genoemd.

ZShlayer vertoont aanzienlijke verschillen in vergelijking met eerdere malwarebedreigingen van Shlayer . In plaats van te worden afgeleverd als shell-scripts die op een .dmg-schijfimagebestand zijn geplaatst, wordt ZShlayer geleverd als een normale Apple-installatiebundel in een .dmg-bestand. Omdat de bundel niet door een notaris is bekrachtigd, hebben de onderzoekers vastgesteld dat het ofwel bedoeld is om Mac-systemen met versie 10.14 en lager in gevaar te brengen, ofwel dat gebruikers moeten worden misleid om de notariële controle zelf te negeren.

ZShlayer maakt verbinding met een server onder de controle van de hackers op - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, om de uiteindelijke payload af te leveren. Voordien doorloopt de malware verschillende fasen en voert meerdere lagen Bash-shellscripts uit. Tegelijkertijd verzamelt het ook verschillende systeemgegevens, zoals sessie-UID, computer-ID en OS-versie. Alle verzamelde informatie wordt naar de server geëxfiltreerd.

Het bestaan van ZShlayer en de verspreiding ervan in het wild laat zien dat bedreigingsactoren verschillende aanvalsvectoren tegen macOS-gebruikers nastreven, waardoor de behoefte aan gevarieerde verdedigingstechnieken naar voren komt bij het beslissen over de cyberbeveiligingsbescherming van uw computer.