Shlayer Mac 惡意軟件偽裝 “安裝程序” 逃避檢測
通過中毒的谷歌搜索結果傳播,這個Mac頭號威脅的新版本增加了隱形功能。
一種具有先進隱形功能的Shlayer Mac-OSX惡意軟件的新變種在自然環境中被發現,它積極使用中毒的谷歌搜索結果來尋找受害者。
據Intego的研究人員稱,與之前的許多惡意軟件樣本一樣,該惡意軟件據稱是Adobe Flash Player安裝程序。然而,它有自己獨特的特點:一旦下載,就要走一條狡猾的感染之路,一切都是以逃避檢測的名義進行的。
首先,根據Intego的分析,偽裝的“安裝程序”被下載為一個.DMG磁盤映像。
Intego首席安全分析師Joshua Long解釋道:“欺詐性的Flash播放器安裝程序在受害者的Mac上下載并打開后,磁盤映像將掛載并顯示如何安裝的說明。”。
奇怪的是,這些說明告訴用戶首先右鍵單擊Flash安裝程序并選擇“打開”,然后在生成的對話框中單擊“打開”。但Long指出,這“可能會讓很多普通的Mac用戶感到有些困惑”。“與典型的Windows PC不同,蘋果鼠標和觸控板上沒有明顯的右側按鈕。因此,初學Mac的用戶可能不知道如何做等同于右擊Mac的操作,因此可能不了解如何運行惡意軟件安裝程序腳本。”
如果一個用戶通過了這個并按照說明進行操作,那么就會啟動假安裝程序應用程序。這個應用程序帶有一個Flash播放器圖標,看起來像一個普通的Mac應用程序,但實際上它是一個bash shell腳本。
bash shell開始在終端應用程序中運行自己,從中提取一個自嵌入的、受密碼保護的.ZIP存檔文件。歸檔文件中有一個Mac.APP包,安裝程序將其放入一個隱藏的臨時文件夾中,然后在退出終端之前啟動。據該公司稱,這種行為發生在“瞬間”,以逃避用戶的注意。對受害者來說,沒有什么不對勁的。
除了真實性之外,Mac.APP包還下載了一個合法的、Adobe簽名的Flash Player安裝程序,作為隱藏的、惡意的Mac應用在后臺運行的掩護。
“開發人員決定將Mac.APP隱藏在受密碼保護的.ZIP文件中,并將其隱藏在bash shell腳本中,這是一個新穎的想法,也是非常明顯的證據,表明開發人員正試圖逃避殺毒軟件的檢測,”Long指出。
隱藏的惡意軟件可以從那里潛伏在機器上,隨時可以從指揮控制(C2)服務器下載任何其他Mac惡意軟件或廣告軟件包,只要操作員愿意。
Long說:“這個新設計的惡意軟件聲稱是一個合法的Flash播放器安裝程序,但它有能力秘密下載和安裝包含廣告軟件或間諜軟件的額外不需要的軟件包。”
在談到Mac最常見的威脅時,Shalyer去年登上了榜首——在卡巴斯基2019年的遙測數據中,它占Mac OS設備攻擊總數的29%,成為今年Mac惡意軟件的頭號威脅。以前的版本還充當第二階段惡意軟件的安裝程序,并通過假應用程序傳播。
在最近的一次活動中,為了吸引受害者,它的運營商正在使用有毒的搜索結果——特別是在谷歌搜索中。這是一種老生常談的方法,惡意軟件發行商會發現易受攻擊的博客或其他谷歌搜索引擎排名較高的網站,對其進行破壞,并添加一種重定向機制,通過許多分支鏈接跳轉,最終將用戶重定向到一個假的Flash播放器登錄頁。應該說,盡管本例中的Shlayer變體是通過谷歌搜索結果找到的,但任何搜索引擎都容易受到這種策略的影響,包括Bing、Yahoo,DuckDuckGo等等。
“Intego的研究團隊在谷歌搜索YouTube視頻的確切標題時,遇到了谷歌搜索結果,點擊后會經過多個重定向網站,最后出現在一個聲稱訪問者的Flash播放器已經過時的頁面上,并顯示欺騙性警告和假對話框,誘使受害者下載一個所謂的Flash播放器更新程序,實際上,是一個trojan木馬。
Intego說,對于這一特定的惡意軟件活動,目前還不清楚有多少網站提供了這種惡意軟件,以及有多少種搜索結果受到了毒害,特別是因為這種惡意軟件是全新的:研究人員發現,截至上周五,新的惡意軟件安裝程序及其有效負載在VirusTotal上的所有殺毒引擎中的檢測率為0/60。
使用中毒的搜索結果、一張.DMG圖片和一個假冒的Adobe Flash安裝程序的伎倆,與Intego發現的另一個被稱為CrescentCore的惡意軟件的M.O.完全相同。這個惡意軟件出現在去年夏天,但它使用了不同的規避技術從新的惡意軟件。它還安裝了惡意的Safari瀏覽器擴展,并在受感染的設備上刪除了諸如“高級Mac Cleaner”之類的膨脹軟件應用程序。
