ZShlayer: nova variante de malware para macOS ofusca scripts para evitar ferramentas de segurança antigas
Os pesquisadores descobriram uma nova variante de malware Shlayer macOS que se ofusca para passar furtivamente pelas ferramentas de segurança e comprometer uma máquina-alvo.
Chamada de ‘ZShlayer’, a variante não está em conformidade com as assinaturas originais do Shlayer, o que significa que pode passar despercebida por alguns scanners de malware.
Notavelmente, ZShlayer ofusca fortemente os scripts Zsh para se disfarçar.
As versões anteriores do malware Shlayer original vinham como executáveis de script de shell em uma imagem de disco removível .DMG.
Esta nova variante vem usando um pacote de aplicativos padrão da Apple dentro do .DMG. Uma postagem no blog de Phil Stokes, pesquisador de ameaças da SentinelOne, que descobriu a cepa, diz: “Embora ignorar as verificações de notarização da Apple seja obviamente uma manchete, esta nova variante do Shlayer utiliza scripts Zsh fortemente ofuscados e é, de fato, muito mais prolífica na rede.”
Stokes descobriu a variante enquanto caçava ameaças no Virus Total, disse ele. A postagem explica em mais detalhes como o Zsh eventualmente se descompacta no malware Shlayer.
Ele disse ao The Daily Swig: “As implicações são que as ferramentas de segurança dos usuários podem não reconhecer o pacote inicial do aplicativo infectado como malware, pois não está de acordo com as assinaturas do Shlayer”.
Felizmente, parece que as infecções por ZShlayer estão atualmente isoladas para usuários que baixaram software ilícito fora do ecossistema oficial da App Store da Apple.
Ele acrescentou: “A maioria dos droppers ZShlayer que eu vi são em software crackeado por Trojan, então a advertência usual se aplica sobre como evitar o download de versões piratas de produtos.”
Eu shlay
O Shlayer, malware que se apresenta como uma atualização do software Adobe Flash antes de infectar os sistemas operacionais da Apple, foi descoberto pela primeira vez em fevereiro de 2019.
Recentemente, ele reapareceu depois que foi descoberto que havia passado pelos cheques de reconhecimento de firma da Apple.
A campanha foi flagrada pelo usuário do Twitter Peter Dantini, que repassou suas descobertas ao especialista em segurança do Mac Patrick Wardle.
O ataque representa o que se pensa ser a primeira vez que um código malicioso ganhou o “selo de aprovação” de reconhecimento de firma da Apple.
A Apple respondeu prontamente a denúncias de prevaricação revogando o certificado de assinatura de código do desenvolvedor abusado na campanha Shlayer-slinging.