ZShlayer

Shlayer szybko staje się jednym z najbardziej znanych zagrożeń dla systemu macOS, szczególnie po kampanii ataku, w której był w stanie ominąć testy notarialne firmy Apple. Aby to zrobić, Shlayer użył pliku binarnego Mach-O do wykonania w pamięci skryptu powłoki Bash. Hakerzy stojący za tym zagrożeniem szukali również innych sposobów, które pozwoliłyby im najwyraźniej ominąć statyczne sprawdzanie podpisów. Efektem końcowym jest nowy wariant złośliwego oprogramowania Shlayer, który wykorzystuje mocno zaciemnione skrypty Zsh, aby ominąć zabezpieczenia. Badacze bezpieczeństwa wykryli nowy wariant i nazwali go ZShlayer.

ZShlayer wykazuje znaczne różnice w porównaniu z wcześniejszymi zagrożeniami ze strony złośliwego oprogramowania Shlayer . Zamiast być dostarczanym jako skrypty powłoki umieszczone w pliku obrazu dysku .dmg, ZShlayer jest dostarczany jako zwykły pakiet instalacyjny Apple w pliku .dmg. Ponieważ pakiet nie został poświadczony notarialnie, badacze ustalili, że ma on na celu złamanie zabezpieczeń systemów Mac z wersją 10.14 i starszą lub że użytkownicy będą musieli zostać oszukani, aby sami unieważnili kontrolę notarialną.

ZShlayer łączy się z serwerem pod kontrolą hakerów pod adresem - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, aby dostarczyć ostateczny ładunek. Jednak wcześniej złośliwe oprogramowanie przechodzi przez kilka etapów i wykonuje wiele warstw skryptów powłoki Bash. Jednocześnie gromadzi również różne dane systemowe, takie jak UID sesji, identyfikator komputera i wersja systemu operacyjnego. Wszystkie zebrane informacje są przenoszone na serwer.

Istnienie ZShlayera i jego rozprzestrzenianie się w środowisku naturalnym pokazuje, że podmioty zagrażające atakują użytkowników macOS w różnych kierunkach, stawiając na pierwszym miejscu potrzebę stosowania różnych technik obronnych przy podejmowaniu decyzji o ochronie Twojego komputera za pomocą cyberbezpieczeństwa.