Malware per macOS disabilita la protezione Gatekeeper

giovedì 14 febbraio 2019
Malware per macOS disabilita la protezione Gatekeeper

E’ stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac. La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac.

La nuova versione
Esattamente come già accaduto, la nuova versione del malware viene distribuita tramite un falso aggiornamento del software Adobe Flash. La differenza è che, in passato, Shlayer si diffondeva soltanto tramite siti web torrent, mentre la campagna attuale prevede anche l’uso di falsi pop up di aggiornamento che dirottano gli utenti su siti clone di siti legittimi o siti compromessi di vario genere.

Questa nuova versione ha come obiettivo tutte le versioni dei sistemi operativi Mac fino all’ultima Mojave 10.14.3 e viene distribuita sulle macchine bersaglio come file DMG, PKG, ISO o ZIP. Alcuni di questi file sono perfino firmati con un ID developer Apple valido, al fine di farli sembrare legittimi.

Il falso installer
I campioni analizzati fino ad adesso utilizzano anche script shell dannosi per scaricare ulteriori payload (questo già avveniva con le vecchie versioni di Shlayer): nel caso degli esemplari diffusi in formato immagine DMG, verrà avviato un script .command in background non appena l’utente avrà eseguito il falso installer di Flash Player.

Lo script dannoso incluso nel file DMG è codificato in base64 e decripterà un secondo script, criptato con l’algoritmo AES, che sarà a eseguito automaticamente non appena rimesso in chiaro. Il secondo script è quello che esegue le numerosi funzioni dannose di Shlayer:
raccoglie le informazioni sul sistema, come la versione del sistema operativo Mac o l’identificativo unico del sistema (PlatformUUID);
crea una sessione GUID usando uuidgen;
crea un URL personalizzato usando le informazioni generate nei due passi precedenti, quindi scarica il payload del second stage;
tenta il download del payload in formato zip usando curl;
crea una cartella in /temp per memorizzare il payload e estrarre il payload (l’archivio è protetto da password);
crea il file binario nell’eseguibile .app estratto usando “chmod+X”;
esegue il payload usando “open”;
esegue un “killall Terminal” per chiudere la finestra del terminale con lo script in esecuzione.

Completate queste fasi, il passo successivo è il download sul sistema compromesso di ulteriori payload tutti contenenti adware e necessari per disabilitare il meccanismo di protezione Gatekeeper. A questo punto tutti i payload extra e scaricati da Shlayer saranno visti come software “whitlisted”, legittimi, dato che il sistema operativo non verificherà più l’ID Apple Developer con i quali sono firmati.

Il payload di second-stage firmato con ID developer Apple
Gli effetti sul sistema
Di per sè questa infezione non è critica, in termini di effetti negativi sul sistema: l’impatto reale di tutte queste operazione è la presenza di adware che rallenteranno visibilmente l’intero sistema e il rischio di essere ingannati dai numerosi pop-up e comprare prodotti o servizi non desiderati né richiesti. Il meccanismo di infezione è però molto efficace: nel caso in cui gli attaccanti dovessero sostituire i payload attualmente in diffusione con quelli di malware più pericolosi (si pensi ai wiper) gli effetti potrebbero essere ben più critici.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy