这种新的Mac No.1威胁通过受毒害的Google搜索结果进行传播,并增加了隐身性。
在野外发现了具有高级隐身功能的Shlayer Mac OSX恶意软件的新变种,他们积极使用中毒的Google搜索结果来寻找受害者。
据Intego的研究人员称,该恶意软件与之前的许多恶意软件示例一样,都声称是Adobe Flash Player安装程序。但是,它具有自己的独特特征:*载下**后,它就以狡猾的方式走上了感染之路,以逃避检测为名。
首先,根据Intego的分析,伪装的“安装程序”将以.DMG磁盘映像的形式*载下**。
Intego首席安全分析师Joshua Long在周一的帖子中解释说:“在欺骗性的Flash Player安装程序被*载下**并在受害者的Mac上打开后,磁盘映像将挂载并显示如何安装磁盘的说明。”
奇怪的是,这些说明告诉用户首先在Flash Installer上单击鼠标右键,然后选择“打开”,然后在出现的对话框中单击“打开”。Long指出,“这让许多Mac临时用户感到有些困惑”。与典型的Windows PC不同,Apple鼠标和触控板上没有明显的右侧按钮。
因此,新手Mac用户可能不知道如何执行与右键单击相同的Mac,因此可能不了解如何运行恶意软件安装程序脚本。”如果用户超过此范围并遵循说明,则将启动伪造的安装程序。该应用程序带有Flash Player图标,看起来像普通的Mac应用程序,但实际上是bash shell脚本。
bash shell开始在Terminal应用程序中运行,然后在其中提取一个受密码保护的自嵌入.ZIP存档文件。档案内部有一个Mac .APP*绑捆**包,安装程序将其放置在一个隐藏的临时文件夹中,然后启动,然后退出Terminal。
据该公司称,这项活动是在“瞬间”进行的,目的是逃避用户的注意。对于受害者而言,似乎没有什么不对劲。Mac .APP*绑捆**包进一步增加了准确性,依次*载下**了一个合法的,Adobe签名的Flash Player安装程序,该安装程序充当了在后台运行的隐藏的恶意Mac应用程序的封面。
“开发人员决定将Mac .APP隐藏在受密码保护的.ZIP文件中,然后将其隐藏在bash shell脚本中,这是一个新颖的想法-而且,这也是开发人员试图逃避检测的极清楚证据通过防病毒软件,” Long指出。
隐藏的恶意软件可能会从那里潜伏在计算机上,随时准备让操作员随时从命令与控制(C2)服务器*载下**任何其他Mac恶意软件或广告软件包。
Long说:“这种经过重新设计的恶意软件声称是合法的Flash Player安装程序,但具有秘密*载下**和安装包含广告软件或间谍软件的其他不需要软件包的功能。”
Shalyer去年在Mac最常见的威胁方面跃居首位-在卡巴斯基遥测技术中占2019年对macOS设备的所有攻击的29%,使其成为本年度Mac恶意软件的第一大威胁。以前的版本还充当第二阶段恶意软件的安装程序,并通过伪造的应用程序进行传播。
在最新的广告活动中,为了吸引受害者,其运营商正在使用中毒的搜索结果-特别是在Google搜索中。这是一种陈旧的方法,在这种方法中,恶意软件分发者会找到易受攻击的博客或其他具有较高Google搜索引擎排名的网站,并对其进行折衷,并添加通过许多会员链接反弹的重定向机制-最终将用户重定向到伪造的Flash Player登陆页面。
应该说,尽管在这种情况下通过Google搜索结果找到了Shlayer变体,但是任何搜索引擎都容易受到这种策略的影响,包括Bing,Yahoo!,DuckDuckGo等。
“在Google搜索YouTube视频的确切标题时,Intego的研究团队遇到了Google搜索结果,当单击这些结果时,它们会经过多个重定向网站,并最终显示一个页面,该页面声称访问者的Flash Player已过期,并显示欺骗性警告和伪造的对话框诱使受害者*载下**一个假定的Flash Player更新程序-实际上是特洛伊木马。
Intego表示,对于这一特定的恶意软件活动,尚不清楚有多少网站在提供该恶意软件,有多少种搜索结果被中毒,特别是由于该恶意软件是全新的:截至周五,新的恶意软件安装程序及其有效负载已研究人员发现,VirusTotal上所有防病毒引擎中的检测率为0/60。
中毒的搜索结果,.DMG图像和假Adobe Flash安装程序的使用与M.O相同。Intego发现的另一种恶意软件CrescentCore。
该恶意软件于去年夏天出现,但它使用了与新恶意软件不同的规避技术。它还安装了恶意的Safari浏览器扩展程序,并在受感染的设备上删除了诸如“ Advanced Mac Cleaner”之类的膨胀软件应用程序。在家办公的时代,内部人员威胁是不同的。