Ny skadlig programvara för Mac avslöjar att Google-sökningar kan vara osäkra
Intego har upptäckt ny Mac-skadlig kod i naturen och sprider sig aktivt genom skadliga resultat i Googles sökningar.
Den nya skadliga programvaran lurar offer för att kringgå Apples inbyggda macOS-säkerhetsskydd, och den använder smygande taktik i ett försök att undvika antivirusdetektering.
Från och med fredag hade den nya malwareinstallatören och dess nyttolast 0/60 detekteringsfrekvens bland alla antivirusmotorer på VirusTotal. Intego VirusBarrier är den första anti-malware-lösningen som är känd för att upptäcka och ta bort denna malware.
Intego identifierar den nya skadliga programvaran som unika nya varianter av OSX / Shlayer (vars ursprungliga variant först upptäcktes av Intego 2018) och OSX / Bundlore (med likheter med tidigare versioner av OSX / MacOffers och Mughthesec / BundleMeUp / Adload).
I den här artikeln:
Vad gör den nya skadliga programvaran? Hur är det unikt?
Som vanligt förekommer i Mac-skadlig programvara levereras denna nyligen uppdaterade Shlayer-malware som en trojansk hästapplikation på en .dmg-skivavbild, maskerad som ett Adobe Flash Player-installationsprogram.
Obs! Det “censurerade” utseendet är hur det faktiskt ser ut på offrens Mac-datorer.
Efter att den vilseledande Flash Player-installationsprogrammet har laddats ner och öppnats på ett offrets Mac, kommer skivavbildningen att monteras och instruktioner visas om hur du installerar den. Instruktionerna ber användarna att först “högerklicka” på flashInstaller och välja Öppna och sedan klicka på Öppna i den resulterande dialogrutan.
“Get Info” -fönstret för flashInstaller-filen
Om en användare följer instruktionerna startar ”installationsprogrammet”. Medan installationsprogrammet har en Flash Player-ikon och ser ut som en vanlig Mac-app, är det faktiskt ett bash shell-skript som kort öppnas och körs själv i Terminal-appen.
En del av skriptets kod som visar början på den inbäddade .zip-filen
När skriptet körs extraherar det en självinbäddad, lösenordsskyddad .zip-arkivfil, som innehåller en traditionell (men skadlig) Mac .app-bunt. Efter att ha installerat Mac-appen i en dold tillfällig mapp startar den Mac-appen och avslutar terminalen. Allt detta sker inom en bråkdels sekund.
När Mac-appen startar laddar den ned ett legitimt, Adobe-signerat Flash Player-installationsprogram, så att det kan se ut som om det är äkta – men den dolda Mac-appen är utformad för att också ha möjlighet att ladda ner något annat Mac-skadligt program eller adware-paket, på diskretionen hos de som kontrollerar servrarna som den dolda Mac-appen ringer hem till.
Utvecklarnas beslut att dölja Mac-appen i en lösenordsskyddad .zip-fil och att dölja det i ett bash-skalskript är en ny idé – och det är också extremt tydligt bevis för att utvecklarna försöker undvika upptäckt genom att antivirusprogram.
Är detta skadliga program i naturen? Hur sprider den sig?
Under sökningen på Google efter de exakta titlarna på YouTube-videor stötte Integos forskargrupp på Googles sökresultat som, när de klickades, passerar genom flera omdirigeringssidor och hamnar på en sida som hävdar att besökarens Flash Player är inaktuell och visar vilseledande varningar och falska dialogrutor för att locka offret att ladda ner en förmodad Flash Player-uppdaterare – som i själva verket är en trojansk häst.
Denna nyutvecklade skadliga programvara påstår sig vara ett legitimt Flash Player-installationsprogram, men det har förmågan att i hemlighet ladda ner och installera ytterligare oönskade paket som innehåller adware eller spionprogram.
Detta är långt ifrån första gången som sökmotorresultat har lett till falska dialogrutor i webbläsaren och skadliga nedladdningar; detta har hänt i mer än ett decennium.
Förra året var Intego också den första som upptäckte OSX / CrescentCore, ett annat exempel på sökresultat som ledde till skadlig Mac. Liksom den nya Shlayer-varianten var CrescentCore en trojansk häst som förklädde sig som en Flash Player-installatör.
Kan inte Google stoppa detta?
Även om i det här fallet skadlig programvara hittades via Googles sökresultat, kan samma sak hända med vilken sökmotor som helst: Bing, Yahoo !, DuckDuckGo, Startpage, Ecosia eller andra.
Sökmotorer står inför många utmaningar när de försöker förhindra förgiftade sökresultat som leder till skadlig kod.
För det första förändras skadlig kod ständigt för att undvika upptäckt, vilket framgår av den här nya skadliga programkampanjen. Även om Google hade skannat webbplatsen efter känd skadlig kod innan den indexerades hade Google inte hittat någon eftersom skadlig programvara var helt ny och ännu inte upptäckt.
För en annan sak är sidor ofta utformade för att dynamiskt presentera olika innehåll beroende på sammanhanget. Om en webbserver fastställer att Google genomsöker webbplatsen kan den presentera en helt annan sida än den du kanske ser om du går direkt till webbadressen i din webbläsare – och den sidan kan skilja sig från den sida du skulle se om du klickar på en länk i Googles sökresultat (vilket innebär att google.com är ”hänvisaren”), vilket var fallet med denna kampanj.
Det kanske inte är en omöjlig uppgift, men det är verkligen en stor utmaning att försöka förhindra att allt potentiellt skadligt innehåll visas i sökresultaten.
Intego har rapporterat de kända skadliga sökresultaten till Google.
Hur kringgår skadlig kod inbyggt i macOS?
Många Mac-skadliga program de senaste åren har “undertecknats” av ett Apple-utvecklarkonto, vilket innebär att malware-tillverkaren har betalat för ett Apple-konto (eller åtminstone kapat ett legitimt utvecklarkonto) för att få särskild tillgång till utvecklare resurser (och i vissa fall mindre granskning från inbyggt skydd i macOS).
Intressant är att tillverkarna av denna skadliga program inte ens brydde sig om att få ett Apple-utvecklarkonto. Istället använde de en smutsig taktik för att lura offren att kringgå Apples inbyggda skydd.
Normalt sett kommer användare från en MacOS Catalina att se en dialogruta så här om de dubbelklickar på en Mac-app som inte är signerad med ett giltigt (och icke återkallat) Apple-utvecklarkonto:
Catalina varningsmeddelande: “macOS kan inte verifiera att den här appen är fri från skadlig kod.” Bild: Apple.
Genom att lura en användare att ”högerklicka” (Apple kallar det här för att klicka och klicka) på en skadlig app och klicka på Öppna, kommer offren istället se en dialogruta mer så här:
Catalina varningsmeddelande: “Genom att öppna den här appen kommer du att åsidosätta systemsäkerheten som kan utsätta din dator och personlig information för skadlig kod som kan skada din Mac eller äventyra din integritet.” Bild: Apple.
Observera att i den här lite annorlunda dialogrutan finns en ”Öppna” -knapp. I det här fallet hoppas malware-tillverkarna att du ska ignorera Apples finstilta och istället följa instruktionerna från den skadliga diskbildens bakgrundsbild.
Hur kan skadlig programvara tas bort?
Intego VirusBarrier X9, ingår i Intego’s Mac Premium Bundle X9, kan upptäcka och eliminera detta skadliga program. (Kunder som kör VirusBarrier X8, X7 eller X6 på äldre versioner av Mac OS X är också skyddade.)
Mycket få andra antiviruslösningar från tredje part är kända för att upptäcka det, när den här artikeln senast uppdaterades.
Finns det många offer för denna specifika skadliga programvara?
I allmänhet verkar falska Flash Player-installatörer vara mycket framgångsrika, eftersom Mac-tillverkare av skadlig programvara har fortsatt att använda Flash-installatörer som en trojansk häst i nästan ett decennium.
Relaterat: Adobe Flash Player är död, men 10% av alla Mac-datorer är infekterade med falskt skadlig programvara
Adobe Flash Player är död, men 10% av alla Mac-datorer är infekterade med falskt skadlig programvara
För denna specifika kampanj med skadlig programvara är det fortfarande oklart hur många webbplatser som erbjuder skadlig programvara och hur många sorter av sökresultat som är förgiftade. Eftersom skadlig kod är helt ny, återstår det att se hur utbredda infektioner är.
Det finns dock en designfel i det inledande skedet av skadlig programvara som kan hjälpa till att förhindra att infektioner eskalerar bortom att öppna diskavbildningen. När diskavbildningen har monterats instruerar den offret att ”högerklicka” på installationsprogrammet, vilket kan vara lite förbryllande för många avslappnade Mac-användare. Till skillnad från vanliga Windows-datorer finns det ingen uppenbar högerknapp på Apple-möss och styrplattor. Därför kanske nybörjare av Mac-användare inte vet hur man gör Mac-motsvarigheten till ett högerklick och därför kanske de inte förstår hur man kör installationsprogrammet för skadlig programvara.
Vad är känt om skaparna av detta skadliga program?
Företaget bakom den här skadliga programvaran har valt ett ganska generiskt namn för sig själv, FlashDownloader, och de hävdar i sin licens.txt-fil att du kan kontakta dem på [email protected] Domän flashdownloader[.]pro registrerades den 8 juni 2020, bara några dagar innan skadlig programvara först observerades i naturen.
Intressant verkar det som att företaget bakom den här nya Shlayer-varianten också har anknytning till en förment “säker, säker och snabb” webbläsare med en inbyggd “gratis VPN” för Windows, och de hävdar att en Mac-version kommer snart.
Windows-versionen av denna webbläsare upptäcks för närvarande inte som ett potentiellt oönskat program (PUP / PUA) av någon anti-malware-programvara, enligt VirusTotal. Men som vi tidigare har varnat våra bloggläsare och podcastlyssnare är det bra att vara lite skeptisk till saker som normalt kostar pengar men att någon påstår sig erbjuda helt gratis (till exempel en gratis VPN-tjänst). Om en tjänst som är dyr att använda erbjuds gratis betyder det ofta att dina uppgifter är den produkt som genererar intäkter för företaget.
Indikatorer på kompromiss
Följande SHA256-haschar har observerats hittills från denna skadliga programkampanj:
flashInstaller.dmg disk image; initial download, usually in ~/Downloads d49ee2850277170d6dc7ef5f218b0697683ffd7cc66bd1a55867c4d4de2ab2fb 97ef25ad5ffaf69a74f8678665179b917007c51b5b69d968ffd9edbfdf986ba0 flashInstaller bash script; installer on disk image; unsigned 86561207a7ebeb29771666bdc6469d81f9fc9f57eedda4f813ca3047b8162cfb 2c2c611965f7b9c8e3524a77da9b2ebedf1b7705e6276140cffe2c848bff9113 flashInstaller.zip temp file created by the script 3cd3f207a0f2ba512a768ce5ea939c1aed812f6c8f185c1838bfc98ffd9b006e bdbfefab84527b868eb073ece6eff6f5b83dc8d9ed33fe0a824ffee3b9f47b6e Installer found within a .app in a subfolder of /private/var/folders Mach-O macOS binary; self-signed 05b9383b6af36e6bf232248bf9ff44e9120afcf76e50ac8aa28f09b3307f4186 907c31b2da15aa14d06c6e828eef6ca627bd1af88655314548f747e5ed2f5697
Följande domäner har observerats som direkt anslutna till den här skadliga programkampanjen, dvs. falska Flash-varningar, filhantering eller kommunikationsservrar:
youdontcare[.]com display[.]monster yougotupdated[.]com installerapi[.]com uzasignals[.]com
All nätverkstrafik till eller från domänerna ovan bör betraktas som ett möjligt tecken på en infektion.
Det finns också några bevis som tyder på att följande ytterligare domäner kan relateras till denna kampanj på olika sätt:
flashdownloader[.]pro defenderbrowser[.]com installvibes[.]com
Uppdatering: Ett par veckor efter att Intego publicerade den här artikeln, skrev Phil Stokes en separat analys av detta skadliga program på SentinelOnes blogg, som innehåller ytterligare IOC för relaterade prover.
Hur kan jag lära mig mer?
Vi pratade om denna nya skadliga program i avsnitt 140 av Intego Mac Podcast– var noga med att prenumerera så att du inte missar några avsnitt. Du vill också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för de senaste Apples säkerhets- och sekretessnyheter.
Du kan också följa Intego på dina favorit- och mediekanaler: Facebook, Instagram, Twitter och YouTube (klicka på 🔔 för att få meddelande om nya videor).
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget publicerades i Malware och märktes Mughthesec, OSX / Bundlore, OSX / Shlayer. Bokmärk permalänken.
