Apple исправляет 0-day уязвимость macOS, которую использует вредоносное ПО Shlayer

Начислено вознаграждение

Эта новость написана посетителем сайта, и за неё начислено вознаграждение.

(*3*)



реклама

Apple выпустила обновление для системы безопасности, чтобы исправить уязвимость в macOS Large Sur 11.3 и заблокировать вредоносные кампании, активно использующие ее.

Apple устранила 0-day уязвимость в macOS, которая использовалась вредоносным ПО Shlayer, чтобы обойти проверки безопасности Apple Document Quarantine, Gatekeeper и Notarization и загрузить вредоносные полезные нагрузки второго уровня. Создателям Shlayer и раньше удавалось загружать свои вредоносные данные через автоматизированный процесс нотариального заверения Apple. Если они проходят эту автоматическую проверку безопасности, Gatekeeper – функция безопасности macOS, которая проверяет, проверены ли загруженные приложения на наличие известного вредоносного содержимого – разрешает приложениям macOS запускаться в системе.

анонсы и реклама

В прошлом Shlayer использовал метод двухлетней давности для повышения привилегий и отключения защитника macOS для запуска неподписанных полезных нагрузок второго уровня.

Начиная с января 2021 года злоумышленники, создавшие неподписанные и нотариально заверенные образцы Shlayer, начали использовать 0-day уязвимость (CVE-2021-30657), которую обнаружил и сообщил Apple инженер по безопасности  Седрик Оуэнс. Эта исправленная ошибка использует логический недостаток  в способе, которым Gatekeeper проверял, были ли пакеты приложений нотариально заверены для работы в системах macOS. В отличие от предыдущих вариантов, в которых жертвам требовалось щелкнуть правой кнопкой мыши, а затем открыть сценарий установщика, последние варианты вредоносного ПО, злоупотребляющие этой уязвимостью, могут запускаться двойным щелчком.

реклама



(*4*)

Теперь пользователи получают предупреждение о том, что вредоносные приложения «не могут быть открыты, так как разработчик не может быть идентифицирован», и советуют удалить их, поскольку они могут содержать вредоносное ПО.

Согласно отчету Kaspersky за январь 2021 года, Shlayer – это многоступенчатый троян, атаковавший  более 10% всех компьютеров Mac.

Исследовательская группа Intego впервые заметила Shlayer в кампании вредоносных программ в феврале 2021 года, замаскированной под поддельный установщик Adobr Flash Participant.


реклама

В отличие от первых вариантов, которые распространялись через торрент-сайты, новые образцы Shlayer теперь распространяются через поддельные всплывающие окна с обновлениями. После заражения Mac Shlayer устанавливает прокси-программное обеспечение mitmdump  и доверенный сертификат для анализа и изменения HTTPS-трафика, что позволяет ему отслеживать трафик браузера жертв или внедрять рекламу и вредоносные скрипты на посещаемые сайты. Хуже того, этот метод позволяет вредоносному ПО изменять зашифрованный трафик, такой как онлайн-банкинг и безопасная электронная почта.

Хотя создатели Shlayer в настоящее время развертывают только рекламное ПО в качестве дополнительной полезной нагрузки, они могут в любой момент быстро переключиться на более опасные полезные нагрузки, такие как программы-вымогатели и т.п.

Начислено вознаграждение

Этот материал написан посетителем сайта, и за него начислено вознаграждение.