Ny OSX / Shlayer Malware-variant hittades med ett smutsigt nytt trick
I februari förra året upptäckte Intego-forskare en ny variant av OSX / Shlayer-skadlig programvara som förklädde sig som en Adobe Flash Player-uppdatering för att infektera system med adware. OSX / Shlayer hittades också i torrentnedladdningar som en del av (eller låtsas vara) programvarusprickor.
Idag rapporterade Thomas Reed om en ny variant av OSX / Shlayer som använder nya knep för att få sitt jobb gjort. Den installerar en konfigurationsprofil som tvingar webbläsarens hemsida att ställas in som “chumsearch[dot]com. ” Den här profilen skulle ta kontroll över hemsidans inställningar i Safari och Chrome och ställa in inställningarna för “Öppna nytt fönster med” eller “Öppna ny flik med” för att använda Chumsearch URL. Även om vi inte observerade detta beteende i våra tester hittade vi några andra intressanta saker.
Hur smittas Mac-datorer?
Som med de tidigare upptäckta Shlayer-varianterna av skadlig programvara, kommer den här antingen som en falsk Adobe Flash Player eller som en spricka (patch) för någon form av betald programvara. För att plocka upp en av dessa falska Adobe Flash Player-installatörer måste man vandra runt BitTorrent-webbplatser och det kommer säkert att dyka upp.
För att skaffa Shlayer som en del av en mjukvaruspricka är BitTorrent-webbplatser också skyldiga. Detta är inte att säga att denna malware-variant eller andra varianter inte kan hittas på andra möjligen legitima webbplatser, men vi har ännu inte upptäckt Shlayer där.
När en användare luras att ladda ner den falska Adobe Flash Player (eller en webbplats laddar ner den automatiskt) blir resultatet vanligtvis en självmonterande skivavbildning. Användaren får sedan ett fönster som ser mest ut så här:
När installationsprogrammet har startat dyker det upp ett avtal som inte ser ut som det som ingår i det riktiga Adobe Flash Player-installationsprogrammet, och två installationstyper erbjuds: Express (rekommenderas) eller Anpassad installation (expert). Formuleringen är naturligtvis noga vald för att avskräcka användare från att välja alternativet Anpassad installation och se vad som verkligen installeras.
Även utan att bläddra igenom det kan du säga att det presenterade avtalet inte refererar till Adobe Flash Player, utan det refererar till Advanced Mac Cleaner. Detta borde vara en stor röd flagga, men de flesta användare kan vara så vana vid att snabbt klicka på “OK”, “Fortsätt” och “Godkänn” för att äntligen få igång installationen. (Dessa fönster kan nämna obestridliga bevis på att Bigfoot finns och med stor sannolikhet kommer ingen att märka det.)
När du klickar på knappen “Acceptera >>” får användaren en lösenordsförfrågan.
Och när du klickar på “Ok” -knappen tar installationsprogrammet över. Ett fönster täcker större delen av skärmen och visar en förloppsindikator som ber användaren att vänta. Det här fönstret kan inte aktiveras, flyttas eller stängas.
Vad installerar OSX / Shlayer?
När installationsfönstret är öppet laddas flera komponenter ned i bakgrunden. Detta inkluderar allt eller några av följande:
- Chumsearch Safari Extension (även om korrekt installation bara fungerade en gång)
- MyShopCoupon + (det här går inte att installera och hamnar i roten till startdrivenheten)
- Advanced Mac Cleaner (hamnar i mappen Program)
- mediaDownloader (hamnar i mappen Program)
- MyMacUpdater (hamnar i mappen Program)
- Ett verkligt Adobe Flash Player-installationsprogram (monteras på skrivbordet)
Det justerar också hemsidan i Safari, och förmodligen Chrome och andra webbläsare också, för att:
http: //www.chumsearch. com / search /? asset = hp & wtguid = 61409200915943979 & wtsrc = 5409 & wtdt = 042318 & wtbr = 1 & wtpl = 10.12.6 & v = 5.0
Det går dock inte att göra ytterligare justeringar som skulle få nya fönster eller flikar att ladda denna URL.
Chumsearch härmar en (mycket dålig) Googles sökwebbplats, som dyker upp när som helst hemsidan begärs. Den här sidan innehåller också en annons från ett annat företag som bör höja röda flaggor direkt.
Intego VirusBarrier upptäcker Chumsearch och alla dess komponenter som OSX / Chumsearch.
Avancerad Mac Cleaner är scareware. Det visar en skanner som hittade många problem på din Mac och naturligtvis hävdar att sättet att åtgärda alla dessa problem är att betala upp till $ 107. Denna applikation dyker upp efter varje omstart.
Intego VirusBarrier upptäcker Advanced Mac Cleaner och alla dess komponenter som OSX / AMC.fs.
MyMacUpdater är ett annat potentiellt oönskat program (PUP), som inte installerades i just denna testrunda. Vi har dock stött på det tidigare och Intego VirusBarrier upptäcker det som OSX / Bundlore.
OSX / Shlayer är helt enkelt dropparen som fungerar som gateway till ditt system och installerar en mängd andra komponenter, som de som nämns ovan. Den här varianten använder dubbel base64-kodning för att göra det svårare för forskare i skadlig programvara att, ja, undersöka. Till exempel kallas Shlayer-installationsprogrammet på den här sökvägen:
"YlcwdGFXNXpkR0ZzYkMxdFlXTnZjeTVoY0hBdlEyOXVkR1Z1ZEhNdlRXRmpUMU12YlcwdGFXNXpkR0ZzYkMxdFlXTnZjd289Cg=="
Vilken är en kodad version av:
bW0taW5zdGFsbC1tYWNvcy5hcHAvQ29udGVudHMvTWFjT1MvbW0taW5zdGFsbC1tYWNvcwo=
Vilken är en kodad version av:
mm-install-macos.app/Contents/MacOS/mm-install-macos
Genom att dubbelkoda data lurar det inte automatiserade processer, men det gör upptäckten och analysen av människor lite svårare.
Enligt Thomas Reed använder denna nya Shlayer-variant ett nytt trick.
När det gäller denna Crossrider-variant tvingar konfigurationsprofilen som installeras både Safari och Chrome att alltid öppna en sida på chumsearch[dot]com Detta hindrar också användaren från att ändra beteendet i webbläsarens inställningar.
Det här är inte beteenden som vi har kunnat reproducera, men vi har sett att minst en annan rapport om denna konfigurationsprofil har installerats av en webbutvecklare i MacAdmins Slack.
Bör Mac-användare vara oroliga för OSX / Shlayer?
För närvarande har Shlayer bara hittats på BitTorrent-webbplatser, förklädda som falska Adobe Flash Player-installatörer eller inbäddade i nedladdade torrentfiler som poserar som sprickor. Därför, om du inte besöker sådana webbplatser – och det borde du inte göra för att BitTorrent-webbplatser är en cesspool för skadlig programvara – är chansen för infektion för närvarande mycket låg.
Om det finns en ökad infektionsrisk bör användarna vara oroliga. Injicering av annonser och kapning av hemsidan är bara en aspekt av detta skadliga program. Safari- och Chrome-tilläggen kan göra följande:
- Läs innehåll från webbsidor du besöker
- Ändra innehåll på webbsidor du besöker
- Överför innehåll från webbsidor du besöker
Detta inkluderar namn, lösenord, telefonnummer, e-postadresser, kreditkortsuppgifter och mycket mer. Att ha ditt online-kontoutdrag eller Amazon-inloggningsuppgifter överfört till en okänd part är verkligen inte perfekt.
Hur man vet om din Mac är infekterad (och instruktioner för borttagning)
En dropper som Shlayer kan ladda ner och installera vad den vill. Komponenterna som hamnar på din Mac dikteras av de servrar den ansluter till och instruktionerna programmerade i den. Dessa typer av installatörer modifieras också ständigt för att inkludera nya tekniker (som den som Thomas Reed hittade) och installera nya komponenter. Som sådan är det inte möjligt att ge en slutgiltig lista över komponenter att söka efter, men i fallet med denna speciella OSX / Shlayer-variant känner vi till dessa komponenter:
- / Program / Advanced Mac Cleaner
- / Program / MyMacUpdater
- / Applikationer / MyShopcoupon
- / Program / mediaDownloader
- /Library/LaunchAgents/com.MyMacUpdater.agent.plist
- /Library/LaunchAgents/com.MyShopcoupon.agent.plist
- ~ Bibliotek / LaunchAgents / com.pcv.hlpramcn.plist
- ~ Bibliotek / Safari / Tillägg / Chumsearch + .safariextz
- ~ Bibliotek / applikationsstöd / amc
- ~ Bibliotek / Cacher / com.apple.Safari / Extensions / Chumsearch + .safariextension
- /myshopcoupon.safariextz
- /mm- plugin.dylib
Om du snubblat över den specifika installatören Thomas Reed nämner, kolla också här: - Öppna Systeminställningar och leta efter “Profiler”. Om ett profilalternativ är tillgängligt, klicka på det och leta efter profiler som inte hör hemma (det kan finnas legitima profiler där om din Mac hanteras av ditt arbete och / eller en IT-personal). Leta i så fall efter “AdminPrefs”, markera det och klicka på “-” för att ta bort det. Om din Mac hanteras av en IT-personal, kontakta dem för att få dem att ta bort den eller ge dig OK att ta bort den själv. IT-administratörer kan hitta instruktioner för borttagning i Reeds rapport.
- Och slutligen glöm inte att ta bort originalfilen som fick Shlayer på din Mac i första hand. Detta kommer troligen att finnas i din nedladdningsmapp
Om någon av dessa komponenter finns på din Mac, ta bort dem, starta om din Mac och töm papperskorgen.
Hur du skyddar dig mot OSX / Shlayer
Intego VirusBarrier upptäcker och utraderar denna nya malware-variant (och flera andra) som OSX / Shlayer.C. Användning av Integos antivirusprogram blockerar och tar bort alla kända komponenter i Shlayer-skadlig kod. Att använda en tvåvägs brandväggslösning, till exempel Intego NetBarrier, kan erbjuda ytterligare skydd eftersom det kommer att varna dig om alla anslutningsförsök till / från applikationer på din Mac, vilket gör att du kan upptäcka misstänkt beteende och blockera det innan personuppgifter slipper från din dator.
Vi uppmanar dig starkt att hålla dig borta från BitTorrent-webbplatser eftersom detta kommer att minska din exponering för skadlig kod avsevärt. Du kan också överväga att undvika att använda Adobe Flash Player i allmänhet, så du blir inte frestad att installera en falsk Flash Player-uppdatering som är full av skadlig kod.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för Mac-säkerhetsforskning. Han utför oberoende skyddstester mot skadlig kod och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Det här inlägget postades i Malware och taggades BitTorrent, Chumsearch, Fake Flash Player, OSX / AMC.fs, OSX / Bundlore, OSX / Chumsearch, OSX / Shlayer, OSX / Shlayer.C, Shlayer. Bokmärk permalänken.