Le malware Shlayer fait son retour

Une nouvelle variante du malware Shlayer dotée de capacités avancées de furtivité a été repérée dans la nature. Cette nouvelle version utilise les résultats de recherche Google afin de trouver ses victimes.

Selon des chercheurs d’Intego, Shlayer, comme de nombreux malwares avant lui, prétend être un programme d’installation d’Adobe Flash Player. Cependant, il a ses propres caractéristiques uniques: il utilise une stratégie astucieuse pour l’infection une fois qu’il a été téléchargé, tout cela pour éviter d’être détecté.

shlayer

Pour commencer, le «programme d’installation» masqué est téléchargé en tant qu’image disque .DMG, selon l’analyse d’Intego.

“Une fois le programme d’installation trompeur de Flash Player téléchargé et exécuté sur l’ordinateur Mac d’une victime, l’image disque montera et affichera des instructions sur la façon de l’installer”, a expliqué Joshua Long, analyste en chef de la sécurité chez Intego.

Curieusement, les instructions indiquent aux utilisateurs de faire un clic droit avec la souris sur le programme d’installation de Flash et de sélectionner «Ouvrir», puis de cliquer sur Ouvrir dans la boîte de dialogue qui se présente ensuite. Mais cela “peut être un peu déroutant pour de nombreux utilisateurs occasionnels de Mac”, a souligné Long. «Contrairement aux PC Windows classiques, il n’y a pas de bouton droit évident sur les souris et trackpad d’Apple. Par conséquent, les utilisateurs novices d’appareils Mac peuvent ne pas savoir comment faire l’équivalent Mac d’un clic droit et ne peuvent donc pas comprendre comment exécuter le script d’installation du logiciel malveillant. “

Si un utilisateur passe cette étape et suit les instructions, la fausse application d’installation se lance. Cette application est livrée avec une icône Flash Player et ressemble à une application Mac normale mais il s’agit en fait d’un script shell bash.

Le shell bash commence à s’exécuter lui-même dans l’application Terminal, où il extrait un fichier d’archive .ZIP auto-intégré et protégé par mot de passe. À l’intérieur de l’archive se trouve un bundle Mac .APP, que le programme d’installation place dans un dossier temporaire masqué puis le lance, avant de quitter le Terminal. Cette activité se déroule en une fraction de seconde afin d’échapper à la vue des utilisateurs, selon la firme. Pour la victime, rien ne semble aller de travers.

Pour ajouter à la tromperie, le bundle Mac .APP télécharge à son tour un programme d’installation légitime de Flash Player signé par Adobe, qui sert de couverture à l’application Mac malveillante fonctionnant en arrière-plan.

«La décision des développeurs de cacher le Mac .APP dans un fichier .ZIP protégé par mot de passe, et de le cacher dans un script shell bash, est une idée nouvelle et c’est aussi la preuve que les développeurs de Shlayer tentent d’échapper à la détection d’un logiciel antivirus », a noté Long.

Shlayer peut se cacher sur la machine, prêt à télécharger tout autre malware ou package de logiciel publicitaire Mac à partir d’un serveur de commande et de contrôle (C2), chaque fois que les opérateurs le veulent.

“Ce malware récemment repensé prétend être un programme d’installation légitime de Flash Player, mais il a la capacité de télécharger et d’installer des packages indésirables supplémentaires contenant des adwares ou des spywares”, a expliqué M. Long.

shlayer

L’année dernière, Shlayer représentait 29% de toutes les attaques contre les appareils macOS dans la télémétrie de Kaspersky pour 2019, ce qui en fait la menace n ° 1 des logiciels malveillants Mac pour l’année. Les versions précédentes agissaient également en tant qu’installateurs de logiciels malveillants de deuxième étape et se propageaient via de fausses applications.

Dans la dernière campagne, pour attirer les victimes, ses opérateurs utilisent des résultats de recherche empoisonnés, en particulier dans la recherche Google. Il s’agit d’une ancienne approche dans laquelle les distributeurs de logiciels malveillants trouvent des blogs vulnérables ou d’autres sites avec des classements élevés dans les moteurs de recherche Google, les compromettent et ajoutent un mécanisme de redirection qui rebondit via un certain nombre de liens d’affiliation, redirigeant finalement les utilisateurs vers une fausse page de destination Flash Player. Il faut ajouter que bien que la variante Shlayer ait été trouvée cette fois-ci via les résultats de recherche Google, tout moteur de recherche est sensible à la tactique, y compris Bing, Yahoo !, DuckDuckGo etc…

“Lors de la recherche sur Google de titres exacts de vidéos YouTube, l’équipe de recherche d’Intego a rencontré des résultats de recherche Google qui, lorsqu’ils sont cliqués, passent par plusieurs sites de redirection et se retrouvent sur une page qui prétend que la version de Flash Player du visiteur est obsolète et affiche des avertissements trompeurs. et de fausses boîtes de dialogue pour inciter la victime à télécharger un supposé programme de mise à jour de Flash Player, qui est en fait un cheval de Troie », a déclaré Long.

La situation de Shlayer est encore un peu flou

Pour cette campagne de malware spécifique, on ne sait pas combien de sites distribuent Shlayer et combien de variétés de résultats de recherche sont empoisonnées, a déclaré Intego, d’autant plus que Shlayer est flambant neuf: le nouvel installateur de malware et son payload avaient un taux de détection de 0/60 parmi tous les moteurs antivirus sur VirusTotal.

L’utilisation de résultats de recherche empoisonnés, d’une image .DMG et d’un faux programme d’installation Adobe Flash est identique au modèle opératoire. d’un autre malware découvert par Intego, baptisé CrescentCore. Shlayer est apparu l’été dernier, mais il utilisait des techniques d’évasion différentes. Il installe également des extensions malveillantes sur le navigateur Safari et supprime des applications bloatware comme «Advanced Mac Cleaner» sur les appareils infectés.

Si cet article vous a plu, jetez un œil à notre article précédent.