E' stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac. La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.
Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac.
La nuova versione
Questa nuova versione ha come obiettivo tutte le versioni dei sistemi operativi Mac fino all'ultima Mojave 10.14.3 e viene distribuita sulle macchine bersaglio come file DMG, PKG, ISO o ZIP. Alcuni di questi file sono perfino firmati con un ID developer Apple valido, al fine di farli sembrare legittimi.
 |
| Il falso installer |
I campioni analizzati fino ad adesso utilizzano anche script shell dannosi per scaricare ulteriori payload (questo già avveniva con le vecchie versioni di Shlayer): nel caso degli esemplari diffusi in formato immagine DMG, verrà avviato un script .command in background non appena l'utente avrà eseguito il falso installer di Flash Player.
Lo script dannoso incluso nel file DMG è codificato in base64 e decripterà un secondo script, criptato con l'algoritmo AES, che sarà a eseguito automaticamente non appena rimesso in chiaro. Il secondo script è quello che esegue le numerosi funzioni dannose di Shlayer:
Lo script dannoso incluso nel file DMG è codificato in base64 e decripterà un secondo script, criptato con l'algoritmo AES, che sarà a eseguito automaticamente non appena rimesso in chiaro. Il secondo script è quello che esegue le numerosi funzioni dannose di Shlayer:
- raccoglie le informazioni sul sistema, come la versione del sistema operativo Mac o l'identificativo unico del sistema (PlatformUUID);
- crea una sessione GUID usando uuidgen;
- crea un URL personalizzato usando le informazioni generate nei due passi precedenti, quindi scarica il payload del second stage;
- tenta il download del payload in formato zip usando curl;
- crea una cartella in /temp per memorizzare il payload e estrarre il payload (l'archivio è protetto da password);
- crea il file binario nell'eseguibile .app estratto usando "chmod+X";
- esegue il payload usando "open";
- esegue un "killall Terminal" per chiudere la finestra del terminale con lo script in esecuzione.
Completate queste fasi, il passo successivo è il download sul sistema compromesso di ulteriori payload tutti contenenti adware e necessari per disabilitare il meccanismo di protezione Gatekeeper. A questo punto tutti i payload extra e scaricati da Shlayer saranno visti come software "whitlisted", legittimi, dato che il sistema operativo non verificherà più l'ID Apple Developer con i quali sono firmati.
 |
| Il payload di second-stage firmato con ID developer Apple |
Gli effetti sul sistema
Di per sè questa infezione non è critica, in termini di effetti negativi sul sistema: l'impatto reale di tutte queste operazione è la presenza di adware che rallenteranno visibilmente l'intero sistema e il rischio di essere ingannati dai numerosi pop-up e comprare prodotti o servizi non desiderati né richiesti. Il meccanismo di infezione è però molto efficace: nel caso in cui gli attaccanti dovessero sostituire i payload attualmente in diffusione con quelli di malware più pericolosi (si pensi ai wiper) gli effetti potrebbero essere ben più critici.
Nessun commento:
Posta un commento