运行最新操作系统的Mac容易受到Shlayer 2.0的影响
更新Carbon Black的威胁分析单元(TAU)的研究人员发现,恶意软件的一种新变体是通过冒充Adobe Flash软件更新来感染Apple操作系统的。
恶意软件是OSX/Shlayer的最新演变,据说会影响MacOS的10.10.5至10.14.3(Mojave)。
像其前身一样,当用户单击恶意Web链接时,恶意软件通常会冒充Adobe Flash Player升级。beplay体育能用吗
从这里开始,通过DMG文件来利用有效载荷,在该文件中,特权升级和其他恶意软件可以下载。
Carbon Black在A中写道:“许多最初的DMG与合法的Apple开发人员ID签名,并通过Bash使用合法的系统应用程序进行所有安装活动。”博客文章。
“尽管大多数样本是DMG文件,但我们也发现了.pkg,.iso和.zip有效载荷。”
在用户系统上下载恶意文件后,在隐藏目录中发现的命令脚本将立即执行。
Carbon Black解释说:“此脚本基本64解码和AES解密了第二个脚本,其中包含随后执行的其他编码脚本。”
Carbon Black说,在此阶段之后,恶意软件可以通过/usr/libexec/security_authtrampoline升级特权。“ 1000个安装人员的死亡”。
Carbon Black说:“一旦恶意软件提升为根特权,它将尝试下载其他软件(在分析样本中观察到是广告软件),并使用SPCTL禁用下载软件的Gatekeeper。”
“这使白名单的软件即使设置了从Internet下载的未知应用程序设置,即使该系统设置为无需用户干预也可以运行。”
每日swbeplay2018官网ig与Carbon Black联系,看看有多少用户受OSX/Shlayer的影响,因为它是首先发现由Intego的Mac安全专家于2018年发表。
Carbon Black的高级威胁研究人员之一Erika Noerenberg说:“我们仍在研究整体流行率和覆盖范围,但是这项运动似乎至少自2018年2月以来一直在进行,并且似乎还相对广泛。”
“从历史上看,没有很多关注MAC恶意软件,我们将这一发展视为朝着额外的意识迈出的积极一步。”
tau有发布了一个清单有助于确定系统是否已被OSX/Shlayer妥协的指标。
这并不是MacOS通常以其强大的安全性而闻名的MacOS最近对其进行的工作。
报告趋势微观最近透露,黑客正在使用.exe文件绕过诸如Gatekeeper之类的保护。
本文已更新,包括Carbon Black的评论。
