ZShlayer

ZShlayer Descripción

Shlayer se está convirtiendo rápidamente en una de las amenazas de malware de macOS más notorias, especialmente después de la campaña de ataque, en la que pudo eludir los controles de Notarización de Apple. Para hacerlo, Shlayer usó un binario Mach-O para ejecutar un script de shell Bash en la memoria. Los piratas informáticos detrás de esta amenaza también han estado buscando otras vías que aparentemente les permitan eludir las comprobaciones de firmas estáticas. El resultado final es una nueva variante de malware Shlayer que aprovecha los scripts Zsh muy ofuscados para esquivar las defensas. Los investigadores de seguridad detectaron la nueva variante y la llamaron ZShlayer.

ZShlayer muestra diferencias significativas en comparación con las amenazas de malware Shlayer anteriores. En lugar de entregarse como scripts de shell colocados en un archivo de imagen de disco .dmg, ZShlayer se entrega como un paquete de instalación normal de Apple dentro de un archivo .dmg. Debido a que el paquete no está certificado ante notario, los investigadores determinaron que tiene la intención de comprometer los sistemas Mac que ejecutan la versión 10.14 e inferior o que los usuarios tendrán que ser engañados para que anulen la verificación de notarización ellos mismos.

ZShlayer se conecta a un servidor bajo el control de los piratas informáticos en - http://dqb2corklaq0k.cloudfront.net/13.226.23.203, para entregar la carga útil final. Sin embargo, antes de eso, el malware pasa por varias etapas y ejecuta múltiples capas de scripts de shell Bash. Al mismo tiempo, también recopila varios datos del sistema, como el UID de la sesión, el ID de la máquina y la versión del sistema operativo. Toda la información recopilada se filtra al servidor.

La existencia de ZShlayer y su propagación en la naturaleza muestra que los actores de amenazas están persiguiendo diferentes vectores de ataque contra los usuarios de macOS, lo que pone en primer plano la necesidad de diversas técnicas de defensa al decidir sobre la protección de la ciberseguridad de su computadora.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".