Especialista em segurança Peter Dantini descoberto que o malware Shlayer contornou as verificações da Apple: ele passou com êxito no processo de reconhecimento de firma do software e pode ser executado em qualquer Mac executando macOS Catalina e mais recente.
Em fevereiro deste ano, Apple introduziu um novo mecanismo de segurança: qualquer software Mac distribuído fora da App Store deve passar por um processo de reconhecimento de firma para rodar no macOS Catalina e superior.
"Basicamente, qualquer software para Mac agora precisa passar por uma verificação automatizada na Apple em busca de malware e problemas de assinatura de código. Se as verificações forem aprovadas, o Gatekeeper permite que o aplicativo seja executado no sistema”, – explicaram especialistas da Apple.
No Twitter, Peter Dantini escreve que as verificações automatizadas da Apple não parecem ser muito confiáveis. O pesquisador descobriu que os instaladores do malware Shlayer foram distribuídos através do site malicioso Homebrew, que passou no reconhecimento de firma (como sempre, sob a máscara de atualizações para o Adobe Flash Player). Portanto, eles poderiam ser executados até mesmo no macOS mais recente 11.0 Grande Sul.
A descoberta de Dantini foi confirmada por outro especialista conhecido, Patrick Wardle, Quem escreve em um blog que ele notificou imediatamente a Apple sobre o malware autenticado, e a empresa revogou os certificados do Shlayer no mesmo dia, Agosto 28, 2020. Isso significa que o Gatekeeper irá agora bloqueá-los automaticamente.
No entanto, no último fim de semana de agosto, um pesquisador descobriu que a campanha Shlayer ainda estava ganhando força, oferecendo aos usuários novas cargas autenticadas no mesmo dia em que a Apple revogou os certificados originais. World escreve que as cargas antigas e novas são quase idênticas – eles contêm OSX.Shlayer, também adware Bundlore.
“É óbvio que no interminável jogo de gato e rato entre malfeitores e a Apple, malfeitores ainda estão ganhando”, — conclui o especialista.
De acordo com a Kaspersky Lab, Shlayer tem sido a ameaça mais difundida para macOS há dois anos: em 2019, cada décimo usuário das soluções de segurança da empresa encontrou esse malware pelo menos uma vez, e a sua participação em relação a todas as detecções neste SO é quase 30%.
As primeiras cópias da família Shlayer caíram nas mãos de pesquisadores em fevereiro 2018. No começo de 2020, quase 32,000 diferentes amostras de cavalos de Troia maliciosos foram coletadas, e foram identificados 143 C&Domínios C.
Mais frequente, Trojans da família Shlayer baixam e instalam vários aplicativos de adware no dispositivo do usuário. Além disso, sua funcionalidade teoricamente permite baixar programas que não apenas inundam os usuários com anúncios, mas também abrir espontaneamente páginas publicitárias em navegadores e substituir resultados de pesquisa para baixar ainda mais mensagens publicitárias.
Gostaria também de lembrar que recentemente os especialistas do Google falou sobre vulnerabilidades na Apple sistemas operacionais.