2019年对macOS设备最常见的威胁是什么？ Shlayer恶意软件

Posted 2021-04-30 HLB虎狼帮

文章来源：https://securityaffairs.co

原文链接：https://securityaffairs.co/wordpress/96873/malware/shlayer-malware-2019.html

卡巴斯基专家证实，恶意软件作者继续对macOS设备表现出兴趣，而Shlayer恶意软件一直是对macOS平台的最常见威胁。

卡巴斯基实验室的安全专家透露，Shlayer恶意软件是2019年最广泛的macOS威胁。

今年2月，Carbon Black的恶意软件研究人员发现了一种新的Shlayer恶意软件，其瞄准的MacOS版本从10.10.5到10.14.3.。

该恶意软件伪装成Adobe Flash更新，并通过大量网站，伪造或受到破坏的合法域进行分发。

专家发现，许多最初的DMG都是使用合法的Apple开发人员ID签名的，因此Shlayer恶意软件的这种变体会进行多种级别的混淆。

该恶意软件在目标Mac设备上安装了任何搜索栏以部署广告软件，还拦截并收集了浏览器数据，并且能够更改搜索结果以投放恶意广告。

根据卡巴斯基的说法，在2019年，我们十分之一的Mac安全解决方案至少一次遇到了该恶意软件。

“近两年来，Shlayer Trojan一直是macOS平台上最常见的威胁：在2019年，我们十分之一的Mac安全解决方案至少一次遇到了这种恶意软件，占所有检测到的30％ 卡巴斯基发表的分析报告。“该家族的首批标本于2018年2月落入我们的手中，此后，我们已经收集了近32,000种不同的特洛伊木马恶意样本，并确定了143个C＆C服务器域。”

该恶意软件用于分发多个广告软件，包括AdWare.OSX.Cimpli，AdWare.OSX.Bnodlero，AdWare.OSX.Pirrit和AdWare.OSX.Geonei。

专家指出，随着时间的推移，Shlayer恶意软件的感染过程并未改变，并且恶意代码在整个2019年一直处于活动状态。

与其他基于Bash的macOS恶意软件不同，Shlayer系列是用Python编写的，其操作算法不同于其他威胁。

Shlayer仅用作攻击的初始阶段，因为它会渗透系统，加载主要有效负载并运行它。

“对用户的负面影响可以通过调查AdWare.OSX.Cimpli系列来看出，该系列在撰写本文时已被特洛伊木马积极下载。”该报告继续说道。但是实际上，Cimpli会执行用户看不见的几个动作。首先，它在Safari中安装了恶意扩展，将操作系统安全通知隐藏在恶意假窗口之后。通过单击通知中的按钮，用户实际上同意安装扩展。”

在美国（31％）观察到大多数Shlayer感染尝试，其次是德国（14％），法国（10％）和英国（10％）。

该报告总结说：“研究了Shlayer系列之后，我们可以得出结论，macOS平台是网络犯罪分子很好的收入来源。” “特洛伊木马程序的链接甚至都驻留在合法资源上，攻击者擅长于社会工程学，很难预测下一个欺骗手段的复杂程度。”

转载侵删