Nueva variante de malware de macOS pasa desapercibida para los escáneres antivirus

El malware macOS del que más se habla, Shlayer, ha vuelto a aparecer en las noticias recientemente después de ser sorprendido abusando del servicio de notarización macOS de Apple. Una amenaza que acapara los titulares En septiembre, el investigador de SentinelOne, Phil Stokes, descubrió una nueva variante del malware Shlayer macOS llamada ZShlayer que se ofusca para […]

El malware macOS del que más se habla, Shlayer, ha vuelto a aparecer en las noticias recientemente después de ser sorprendido abusando del servicio de notarización macOS de Apple.

Una amenaza que acapara los titulares

En septiembre, el investigador de SentinelOne, Phil Stokes, descubrió una nueva variante del malware Shlayer macOS llamada ZShlayer que se ofusca para pasar por alto las herramientas de seguridad y comprometer una máquina objetivo.

• Siguiendo el ejemplo de Apple de preferir Zsh a Bash como su lenguaje de shell predeterminado, la nueva variante emplea scripts Zsh muy ofuscados para evitar la detección.
• Activa desde finales de junio, esta nueva variante de ZShlayer utiliza un paquete de aplicaciones estándar de Apple dentro del archivo .dmg.
• Por lo tanto, pudo pasar por alto los controles notariales de Apple y bombardeó a los usuarios de las máquinas infectadas con anuncios no deseados.

Campañas recientes de shlayer-slinging

Encontrado por primera vez en 2018, el malware Shlayer (también conocido como OSX.Shlayer) se ha empaquetado con adware malicioso, que ha seguido circulando hasta hace poco tiempo.

• En julio , se utilizaron más de 1.000 dominios maliciosos para distribuir el troyano Shlayer, que instaló adware en los dispositivos infectados.
• En junio , disfrazado de instalador de Adobe Flash Player, el malware para Mac Shlayer se entregó como un troyano a través de un archivo de imagen de disco DMG.

ZShlayer se conecta a un servidor bajo el control de los piratas informáticos en – http://dqb2corklaq0k.cloudfront.net/13.226.23.203, para entregar la carga útil final. Sin embargo, antes de eso, el malware pasa por varias etapas y ejecuta múltiples capas de scripts de shell Bash.

Al mismo tiempo, también recopila varios datos del sistema, como el UID de la sesión, el ID de la máquina y la versión del sistema operativo. Toda la información recopilada se filtra al servidor.

La existencia de ZShlayer y su propagación en la naturaleza muestra que los actores de amenazas están persiguiendo diferentes vectores de ataque contra los usuarios de macOS, lo que pone en primer plano la necesidad de diversas técnicas de defensa al decidir sobre la protección de la ciberseguridad de su computadora.

La variante ZShlayer del malware Shlayer además de la reciente campaña de Shlayer que abusa del servicio de Notarización de Apple es una clara evidencia de que estos actores de amenazas continúan evolucionando y están realizando múltiples campañas contra los usuarios de macOS. 

Una solución de IA conductual multimotor que puede detectar malware en función de su comportamiento en lugar de depender únicamente de las características del archivo sigue siendo la mejor manera de proteger su flota de macOS.