ZShlayer

Description de ZShlayer

Shlayer est rapidement en train de devenir l'une des menaces de malware macOS les plus notoires, en particulier après la campagne d'attaque, où il a pu contourner les contrôles de notarisation d'Apple. Pour ce faire, Shlayer a utilisé un binaire Mach-O pour exécuter un script shell Bash en mémoire. Les pirates derrière cette menace ont également recherché d'autres voies qui pourraient leur permettre de contourner apparemment les contrôles de signature statiques. Le résultat final est une nouvelle variante du malware Shlayer qui exploite des scripts Zsh fortement obscurcis pour passer au-delà des défenses. Les chercheurs en sécurité ont détecté la nouvelle variante et l'ont nommée ZShlayer.

ZShlayer affiche des différences significatives par rapport aux précédentes menaces de logiciels malveillants Shlayer . Au lieu d'être livré sous forme de scripts shell placés sur un fichier image disque .dmg, ZShlayer est livré sous la forme d'un ensemble d'installation Apple normal dans un fichier .dmg. Le bundle n'étant pas notarié, les chercheurs ont déterminé qu'il était soit destiné à compromettre les systèmes Mac exécutant la version 10.14 et inférieure, soit que les utilisateurs devront être amenés à ignorer eux-mêmes le contrôle de notarisation.

ZShlayer se connecte à un serveur sous le contrôle des pirates sur - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, pour fournir la charge utile finale. Avant cela, cependant, le malware passe par plusieurs étapes et exécute plusieurs couches de scripts shell Bash. Simultanément, il collecte également diverses données système telles que l'UID de session, l'ID machine et la version du système d'exploitation. Toutes les informations recueillies sont exfiltrées vers le serveur.

L'existence de ZShlayer et sa propagation dans la nature montre que les acteurs de la menace poursuivent différents vecteurs d'attaque contre les utilisateurs de macOS, ce qui met en évidence le besoin de techniques de défense variées au moment de décider de la protection de la cybersécurité de votre ordinateur.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».


Le HTML n'est pas autorisé.