Apple выпустила обновление для системы безопасности, чтобы исправить уязвимость в macOS Big Sur 11.3 и заблокировать вредоносные кампании, активно использующие ее.
Apple устранила Zero-day уязвимость в macOS, которая использовалась вредоносным ПО Shlayer, чтобы обойти проверки безопасности Apple File Quarantine, Gatekeeper и Notarization и загрузить вредоносные полезные нагрузки второго уровня. Создателям Shlayer и раньше удавалось загружать свои вредоносные данные через автоматизированный процесс нотариального заверения Apple. Если они проходят эту автоматическую проверку безопасности, Gatekeeper - функция безопасности macOS, которая проверяет, проверены ли загруженные приложения на наличие известного вредоносного содержимого - разрешает приложениям macOS запускаться в системе.
В прошлом Shlayer использовал метод двухлетней давности для повышения привилегий и отключения защитника macOS для запуска неподписанных полезных нагрузок второго уровня.
Начиная с января 2021 года злоумышленники, создавшие неподписанные и нотариально заверенные образцы Shlayer, начали использовать Zero-day уязвимость (CVE-2021-30657), которую обнаружил и сообщил Apple инженер по безопасности Седрик Оуэнс. Эта исправленная ошибка использует логический недостаток в способе, которым Gatekeeper проверял, были ли пакеты приложений нотариально заверены для работы в системах macOS. В отличие от предыдущих вариантов, в которых жертвам требовалось щелкнуть правой кнопкой мыши, а затем открыть сценарий установщика, последние варианты вредоносного ПО, злоупотребляющие этой уязвимостью, могут запускаться двойным щелчком.
Теперь пользователи получают предупреждение о том, что вредоносные приложения «не могут быть открыты, так как разработчик не может быть идентифицирован», и советуют удалить их, поскольку они могут содержать вредоносное ПО.
Согласно отчету Kaspersky за январь 2020 года, Shlayer - это многоступенчатый троян, атаковавший более 10% всех компьютеров Mac.
Исследовательская группа Intego впервые заметила Shlayer в кампании вредоносных программ в феврале 2018 года, замаскированной под поддельный установщик Adobe Flash Player.
В отличие от первых вариантов, которые распространялись через торрент-сайты, новые образцы Shlayer теперь распространяются через поддельные всплывающие окна с обновлениями. После заражения Mac Shlayer устанавливает прокси-программное обеспечение mitmdump и доверенный сертификат для анализа и изменения HTTPS-трафика, что позволяет ему отслеживать трафик браузера жертв или внедрять рекламу и вредоносные скрипты на посещаемые сайты. Хуже того, этот метод позволяет вредоносному ПО изменять зашифрованный трафик, такой как онлайн-банкинг и безопасная электронная почта.
Хотя создатели Shlayer в настоящее время развертывают только рекламное ПО в качестве дополнительной полезной нагрузки, они могут в любой момент быстро переключиться на более опасные полезные нагрузки, такие как программы-вымогатели и т.п.
