Wielokrotnie pisaliśmy o malware na systemy Windows czy Linux, jednak teraz mamy coś specjalnego. Złośliwe oprogramowanie Shlayer Mac OSX z nowymi, zaawansowanymi możliwościami ukrywania się w systemie. Malware działa aktywnie wykorzystując spreparowane wyniki wyszukiwania Google w celu oszukania swoich ofiar.

Według specjalistów z Intego, złośliwe oprogramowanie, podobnie jak wiele jego wcześniejszych próbek, podszywa się pod instalator Adobe Flash Player. Ma jednak swoją unikalną charakterystykę – po pobraniu uruchamia sprytną drogę infekcji w celu uniknięcia wykrycia.


Jak wygląda infekcja

Na początek „instalator” jest pobierany jako obraz dysku .DMG, czyli standardowe rozszerzenie dla aplikacji przeznaczonych na Mac OS. Po pobraniu i otwarciu, obraz dysku zostanie zamontowany i wyświetli instrukcje instalacji Adobe Flash Player.

Co ciekawe, instrukcja mówi, aby użytkownik najpierw kliknął na Flash Installer prawym przyciskiem myszy i wybrał „Otwórz”, co może być nieco zagadkowe dla nowych użytkowników komputerów Mac. W przeciwieństwie do typowych komputerów z systemem Windows, myszy i gładziki Apple nie mają widocznego prawego przycisku. Dlatego nowi użytkownicy komputerów Mac mogą nie wiedzieć, jak wywołać odpowiednią opcje, a tym samym mogą nie uruchomić złośliwego skryptu i po prostu pobiorą inny instalator.

Jeśli użytkownik przejdzie ten krok i wykona instrukcje, uruchomi się fałszywa aplikacja instalatora. Aplikacja ma ikonę Flash Playera i wygląda w stu procentach legalnie. W rzeczywistości jest to skrypt powłoki bash.

Powłoka bash uruchamia się w kontekście aplikacji „Terminal” (wbudowanej w OS konsoli), w której wypakowuje chroniony hasłem plik archiwum .ZIP. Wewnątrz archiwum znajduje się paczka Mac .APP, którą instalator umieszcza w ukrytym folderze tymczasowym, a następnie uruchamia ją przed zamknięciem terminalu. Według firmy Intego ta aktywność ma miejsce w ułamku sekundy, aby uniknąć zauważenia przez użytkownika. Dla ofiary nic nie będzie wyglądać podejrzanie.

Następnie, pakiet Mac .APP pobiera legalnego, podpisanego przez Adobe instalatora Flash Player, który działa jako przykrywka dla ukrytej, złośliwej aplikacji Mac działającej w tle.

„Decyzja deweloperów, aby ukryć .APP na komputerze Mac w chronionym hasłem pliku .ZIP i ukryć to w skrypcie powłoki bash, jest nowatorskim pomysłem – i jest również niezwykle wyraźnym dowodem na to, że programiści próbują tworzyć nowe, zaawansowane wirusy na komputery Apple” – zauważył Joshua Long, specjalista z Intego.

Pomyślnie dostarczone, ukryte złośliwe oprogramowanie może czaić się na komputerze Mac, gotowe do pobrania dowolnego innego złośliwego kodu z serwera Command & Control, ilekroć operatorzy malware mają na to ochotę. Najczęściej Shlayer pobiera dodatkowy spyware lub adware, aby szpiegować użytkowników i zapisywać dane na ich temat.


Czy nowe zagrożenia na Mac OS są już normą?

W ubiegłym roku, inna odmiana Shlayer znalazła się na szczycie listy najpopularniejszych zagrożeń dla komputerów Mac – stanowiła 29 procent wszystkich ataków na urządzenia z systemem macOS w raporcie Kaspersky’ego 2019. Poprzednie wersje działały również jako instalatory oprogramowania i rozprzestrzeniały się za pośrednictwem fałszywych aplikacji.

W najnowszej kampanii, aby zwabić ofiary, jej operatorzy używają „zatrutych” wyników wyszukiwania – szczególnie w Google. Jest to powszechnie stosowane podejście, w ramach którego dystrybutorzy szkodliwego oprogramowania znajdują podatne na zagrożenia blogi lub inne witryny z wysokimi rankingami wyszukiwarek Google, modyfikują ich treść i dodają mechanizm przekierowania, który przeskakuje przez szereg powiązanych stron – ostatecznie przekierowując użytkowników do fałszywego Flash Playera. Należy dodać, że chociaż wariant Shlayer w tym przypadku został znaleziony za pomocą wyników wyszukiwania Google, każda wyszukiwarka jest podatna na tą taktykę, w tym Bing, Yahoo!, itd.

Firma Intego powiedziała, że w tej konkretnej kampanii nie jest jasne, ile witryn oferuje złośliwe oprogramowanie i ile różnych wyników wyszukiwania jest „zatrutych”, zwłaszcza że malware jest zupełnie nowy. Od piątku (19.06.2020r) nowy instalator Shlayer i jego ładunek miał wskaźnik wykrywania 0/60 wśród wszystkich silników antywirusowych na VirusTotal.

Użycie spreparowanych wyników wyszukiwania, obrazu .DMG i fałszywego instalatora Adobe Flash jest identyczne z innym malware, który odkryła Intego, o nazwie CrescentCore. To złośliwe oprogramowanie pojawiło się latem ubiegłego roku. Używało innych technik „zaciemniania użycia” niż Shlayer, ale również podszywało się pod rozszerzenia przeglądarki Safari, a następnie pobierało aplikacje typu bloatware, takie jak „Advanced Mac Cleaner” na zainfekowanych urządzeniach.