SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Обновленный Shlayer научился отключать защиту Gatekeeper

15 февраля 2019 г., пятница, 16:50

Зловред для macOS маскируется под обновление Adobe Flash и доставляет на устройство рекламное ПО.

Новая версия Mac-зловреда Shlayer найдена ИБ-специалистами компании Carbon Black. Программа использует многоэтапную атаку и отключает штатный брандмауэр операционной системы, чтобы доставить на компьютер рекламное ПО. Некоторые файлы загрузчика подписаны легитимным ключом одного из разработчиков Apple, что затрудняет обнаружение дроппера. По утверждению экспертов, под угрозой заражения находятся несколько версий macOS — от 10.10.5 до 10.14.3.

Обновленный штамм распространяется через сеть криминальных сайтов и взломанных веб-ресурсов под видом обновления Adobe Flash. Полезная нагрузка представляет собой образ DMG или же файлы с расширениями .zip, .pkg и .iso. Оказавшись на компьютере, зловред последовательно запускает два скрипта, последний из которых собирает сведения об операционной системе и формирует на основании этих данных уникальную ссылку для загрузки следующих компонентов.

На второй стадии Shlayer пытается получить административные права на инфицированном устройстве через недостатки в алгоритме обновления macOS. Добившись root-привилегий, зловред отключает встроенный в ОС брандмауэр, что позволяет ему беспрепятственно загружать любые файлы на компьютер. Если избавиться от Gatekeeper не удается, дроппер меняет тактику и доставляет полезную нагрузку с легитимной подписью разработчика.

Впервые Shlayer был обнаружен в феврале прошлого года экспертами компании Intego. Специалисты выявили три варианта вредоносной программы, содержащие разное количество скриптов. По мнению аналитиков, целью авторов загрузчика является доход от показа несанкционированной рекламы, однако вредонос способен доставлять на зараженное устройство и другую полезную нагрузку.

Для macOS существует альтернативный брандмауэр, Little Snitch, но его владельцы тоже могут стать жертвой киберпреступников. Недавно стало известно о вредоносной кампании, которая распространяла инфицированную версию этой программы. Помимо легитимной утилиты, в состав дистрибутива был включен exe-файл, по умолчанию не проверяемый Gatekeeper. Запустив его при помощи встроенного компонента фреймворка Mono, злоумышленники похищали большое количество сведений о зараженной системе.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.096
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.