Shlayer برای اولین بار توسط تیم پژوهشی Intego مشاهده شد. این تیم متوجه شد که این بدافزار به عنوان بخشی از یک برنامه مخرب در طول فوریه ۲۰۱۸ توزیع شده است. بدافزار Shlayer به عنوان فایل نصب جعلی نرم افزار Adobe Flash Player، مانند بسیاری دیگر از خانوادههای مخرب پلتفرم مک، توزیع شد.
نسخه جدید Shlayer، که توسط واحد تجزیه و تحلیل تهدیدCarbon Black کشف شده است، نیز از نصبکننده مخرب Adobe Flash استفاده میکند. این نصبکننده در دامنههای ربوده شده یا توسط آگهیهای مخرب سایتهای قانونی توزیع میشود. بدافزار همه نسخههای macOS تا آخرین نسخه ۱۰,۱۴.۳ Mojave را هدف قرار میدهد و به عنوان فایلهای DMG، PKG، ISO یا ZIP وارد سیستم هدف میشود. برخی از این فایلها با شناسه معتبر اپل امضا شدهاند.
نمونههای Shlayer کشف شده توسط Carbon Black از اسکریپتهای shell برای دانلود payloadهای اضافی استفاده میکند. در نمونههای مشاهده شده یک اسکریپت .command بعد از اجرای نصبکننده جعلی Flash، در پسزمینه اجرا شده است. اسکریپت مخرب درج شده در فایل DMG با استفاده base۶۴ رمزگذاری شده است که در ادامه یک اسکریپت رمزشده توسط AES را رمزگشایی میکند، این اسکریپت بصورت خودکار پس از رمزگشایی اجرا میشود.
پس از دانلود موفق payload مرحله دوم، بدافزار Shlayer با استفاده تکنیکی که توسط Patrick Wardle در DEFCON ۲۰۱۷ معرفی شد، سطح دسترسی خود را افزایش میدهد. در مرحله بعد، payloadهای اضافی که همگی حاوی آگهیهای مخرب هستند، دانلود میشوند. بدافزار با غیرفعالسازی مکانیزم حفاظت Gatekeeper، از اجرای آنها در سیستم Mac هدف اطمینان حاصل میکند.
با اینکه در حال حاضر تنها آگهیهای مخرب توسط این بدافزار توزیع میشوند، اما عوامل آن میتوانند با تغییر payloadها، بدافزارهای مخربی مانند باجافزارها یا پاککنندههای دیسک را منتقل کنند. تیم تحلیل تهدید Carbon Black لیست کامل نشانههای آلودگی این بدافزار را در صفحه گیتهاب خود منتشر کرده است.
انتهای پیام/
