ZShlayer

Shlayer wird schnell zu einer der bekanntesten Bedrohungen für MacOS-Malware, insbesondere nach der Angriffskampagne, bei der die Notarisierungsprüfungen von Apple umgangen werden konnten. Zu diesem Zweck verwendete Shlayer eine Mach-O-Binärdatei, um ein Bash-Shell-Skript im Speicher auszuführen. Die Hacker, die hinter dieser Bedrohung stehen, haben auch nach anderen Wegen gesucht, die es ihnen ermöglichen könnten, statische Signaturprüfungen anscheinend zu umgehen. Das Endergebnis ist eine neue Shlayer-Malware-Variante, die stark verschleierte Zsh-Skripte nutzt, um an Abwehrmechanismen vorbeizukommen. Sicherheitsforscher entdeckten die neue Variante und nannten sie ZShlayer.

ZShlayer weist im Vergleich zu früheren Shlayer- Malware-Bedrohungen erhebliche Unterschiede auf. Anstatt als Shell-Skripte auf einer .dmg-Disk-Image-Datei bereitgestellt zu werden, wird ZShlayer als normales Apple-Installationspaket in einer .dmg-Datei geliefert. Da das Bundle nicht notariell beglaubigt wurde, stellten die Forscher fest, dass es entweder Mac-Systeme mit Version 10.14 und niedriger gefährden soll oder dass Benutzer dazu verleitet werden müssen, die Beglaubigungsprüfung selbst zu überschreiben.

ZShlayer stellt unter - http://dqb2corklaq0k.cloudfront.net/13.226.23.203 eine Verbindung zu einem Server unter der Kontrolle der Hacker her, um die endgültige Nutzlast bereitzustellen. Zuvor durchläuft die Malware jedoch mehrere Phasen und führt mehrere Ebenen von Bash-Shell-Skripten aus. Gleichzeitig werden verschiedene Systemdaten wie Sitzungs-UID, Computer-ID und Betriebssystemversion erfasst. Alle gesammelten Informationen werden auf den Server übertragen.

Die Existenz von ZShlayer und seine Verbreitung in freier Wildbahn zeigen, dass Bedrohungsakteure unterschiedliche Angriffsmethoden gegen MacOS-Benutzer verfolgen, um die Notwendigkeit unterschiedlicher Verteidigungstechniken bei der Entscheidung über den Cybersicherheitsschutz Ihres Computers in den Vordergrund zu rücken.