Shlayer Mac 恶意软件伪装 “安装程序” 逃避检测

通过中毒的谷歌搜索结果传播，这个Mac头号威胁的新版本增加了隐形功能。

一种具有先进隐形功能的Shlayer Mac-OSX恶意软件的新变种在自然环境中被发现，它积极使用中毒的谷歌搜索结果来寻找受害者。

据Intego的研究人员称，与之前的许多恶意软件样本一样，该恶意软件据称是Adobe Flash Player安装程序。然而，它有自己独特的特点：一旦下载，就要走一条狡猾的感染之路，一切都是以逃避检测的名义进行的。

首先，根据Intego的分析，伪装的“安装程序”被下载为一个.DMG磁盘映像。

Intego首席安全分析师Joshua Long解释道：“欺诈性的Flash播放器安装程序在受害者的Mac上下载并打开后，磁盘映像将挂载并显示如何安装的说明。”。

奇怪的是，这些说明告诉用户首先右键单击Flash安装程序并选择“打开”，然后在生成的对话框中单击“打开”。但Long指出，这“可能会让很多普通的Mac用户感到有些困惑”。“与典型的Windows PC不同，苹果鼠标和触控板上没有明显的右侧按钮。因此，初学Mac的用户可能不知道如何做等同于右击Mac的操作，因此可能不了解如何运行恶意软件安装程序脚本。”

如果一个用户通过了这个并按照说明进行操作，那么就会启动假安装程序应用程序。这个应用程序带有一个Flash播放器图标，看起来像一个普通的Mac应用程序，但实际上它是一个bash shell脚本。

bash shell开始在终端应用程序中运行自己，从中提取一个自嵌入的、受密码保护的.ZIP存档文件。归档文件中有一个Mac.APP包，安装程序将其放入一个隐藏的临时文件夹中，然后在退出终端之前启动。据该公司称，这种行为发生在“瞬间”，以逃避用户的注意。对受害者来说，没有什么不对劲的。

除了真实性之外，Mac.APP包还下载了一个合法的、Adobe签名的Flash Player安装程序，作为隐藏的、恶意的Mac应用在后台运行的掩护。

“开发人员决定将Mac.APP隐藏在受密码保护的.ZIP文件中，并将其隐藏在bash shell脚本中，这是一个新颖的想法，也是非常明显的证据，表明开发人员正试图逃避杀毒软件的检测，”Long指出。

隐藏的恶意软件可以从那里潜伏在机器上，随时可以从指挥控制（C2）服务器下载任何其他Mac恶意软件或广告软件包，只要操作员愿意。

Long说：“这个新设计的恶意软件声称是一个合法的Flash播放器安装程序，但它有能力秘密下载和安装包含广告软件或间谍软件的额外不需要的软件包。”

在谈到Mac最常见的威胁时，Shalyer去年登上了榜首——在卡巴斯基2019年的遥测数据中，它占Mac OS设备攻击总数的29%，成为今年Mac恶意软件的头号威胁。以前的版本还充当第二阶段恶意软件的安装程序，并通过假应用程序传播。

在最近的一次活动中，为了吸引受害者，它的运营商正在使用有毒的搜索结果——特别是在谷歌搜索中。这是一种老生常谈的方法，恶意软件发行商会发现易受攻击的博客或其他谷歌搜索引擎排名较高的网站，对其进行破坏，并添加一种重定向机制，通过许多分支链接跳转，最终将用户重定向到一个假的Flash播放器登录页。应该说，尽管本例中的Shlayer变体是通过谷歌搜索结果找到的，但任何搜索引擎都容易受到这种策略的影响，包括Bing、Yahoo，DuckDuckGo等等。

“Intego的研究团队在谷歌搜索YouTube视频的确切标题时，遇到了谷歌搜索结果，点击后会经过多个重定向网站，最后出现在一个声称访问者的Flash播放器已经过时的页面上，并显示欺骗性警告和假对话框，诱使受害者下载一个所谓的Flash播放器更新程序，实际上，是一个trojan木马。

Intego说，对于这一特定的恶意软件活动，目前还不清楚有多少网站提供了这种恶意软件，以及有多少种搜索结果受到了毒害，特别是因为这种恶意软件是全新的：研究人员发现，截至上周五，新的恶意软件安装程序及其有效负载在VirusTotal上的所有杀毒引擎中的检测率为0/60。

使用中毒的搜索结果、一张.DMG图片和一个假冒的Adobe Flash安装程序的伎俩，与Intego发现的另一个被称为CrescentCore的恶意软件的M.O.完全相同。这个恶意软件出现在去年夏天，但它使用了不同的规避技术从新的恶意软件。它还安装了恶意的Safari浏览器扩展，并在受感染的设备上删除了诸如“高级Mac Cleaner”之类的膨胀软件应用程序。