ZShlayer

O Shlayer está se tornando rapidamente uma das ameaças de malware mais notórias, especialmente depois da sua campanha de ataque, onde foi capaz de contornar as digitalizações de notarização da Apple. Para fazer isso, Shlayer usou um binário Mach-O para executar um script de shell Bash na memória. Os hackers por trás dessa ameaça também têm procurado outros caminhos que poderiam permitir que eles contornassem as digitalizações de assinatura estática, aparentemente. O resultado final é uma nova variante de malware Shlayer que aproveita scripts Zsh fortemente ofuscados para escapar das defesas. Os pesquisadores de segurança detectaram a nova variante e a nomearam ZShlayer.

O ZShlayer exibe diferenças significativas quando comparado a ameaças de malware Shlayer anteriores. Em vez de ser entregue como scripts de shell colocados em um arquivo de imagem de disco .dmg, o ZShlayer é entregue como um pacote de instalação normal da Apple dentro de um arquivo .dmg. Como o pacote não foi autenticado, os pesquisadores determinaram que sua intenção é comprometer os sistemas Mac que executam a versão 10.14 e inferior ou que os usuários terão que ser enganados para ignorar a verificação do reconhecimento de firma por conta própria.

O ZShlayer se conecta a um servidor sob o controle dos hackers em - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, para entregar a carga final. Antes disso, no entanto, o malware passa por vários estágios e executa várias camadas de scripts de shell Bash. Simultaneamente, ele também coleta vários dados do sistema, como UID da sessão, ID da máquina e versão do sistema operacional. Todas as informações coletadas são exfiltradas para o servidor.

A existência do ZShlayer e sua propagação na selva mostra que os agentes de ameaças estão perseguindo diferentes vetores de ataque contra usuários do macOS, trazendo à tona a necessidade de várias técnicas de defesa ao decidir sobre a proteção de segurança cibernética de seu computador.