Shlayer e varianti - Altro adware-malware per macOS

Mac OS X e le sue Applicazioni

Moderatore: ModiMaccanici

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Brutte notizie per gli utenti Mac poco accorti, distratti o creduloni.

Alcune varianti di Shlayer, una specie di raccoglitore di adware scoperto in febbraio si stanno diffondendo.
Ne avevamo visto degli aspetti, pur non avendo capito di cosa si trattasse, in alcuni resoconti analizzati.

Per primo quello di Liù.
Obiuankenobi aveva rilevato un adware fastidioso, in dicembre
viewtopic.php?f=9&t=44712
Poi Morgansub aveva ricevuto gli stessi problemi, pochi post dopo.

Infine Liù, come detto, si era aggiunta al topic su SystemExt il 27 dicembre, con segni più pesanti dello stesso problema:
viewtopic.php?f=9&t=44712#p492585

Erano segni di affinamento di Shlayer, la cui edizione come una sorta di trojan horse per macOS è stata definita nel mese di febbraio.
Ameno così dicono alcuni siti e blog sull'argomento.
Ma, visti i nostri utenti, ritengo che risalgano a dicembre.

Adesso l'ho visto anche in Esco
viewtopic.php?f=2&t=44491&start=30#p496772
A cui si aggiunto anche in Gerri
viewtopic.php?f=9&t=45186

Al momento non ho capito come fare per estirpare questo veicolatore di adware.
Ma intanto:

Cos'è Slayer e le sue varianti
e soprattutto, come si installa?

Le notizie più diffuse riguardano alcuni siti di Torrent su annunci per scaricare un magnet.
O alcune pagine di warez, download di film e serie tv o streaming di avvenimenti sportivi.
Tutti segnalano, per poter attivare la funzione, il rilevamento di FlashPlayer obsoleto e ne consigliano l'aggiornamento

Immagine

A cui segue l'attivazione dell'installer:

Immagine

Cosa, fa invece, realmente?
Installa, a seconda del tipo di variante:
- un disattivatore di Gatekeeper
- due script non firmati
- uno script non firmato ed uno riconosciuto fraudolentemente dal sistema
- uno script con firma di sviluppatore e certificato contraffatto.

Tutto questo è possibile solo perché è stata concessa la password di amministrazione...
Quindi gli script vengono eseguiti come root.

Come agisce Shlayer?
In sostanza, da quel che ho capito, installa subito alcuni componenti, tra cui segnalo:

Advanced Mac Cleaner
BundleMeUp
Bundlore
ChumSearch
MacOffers
MediaDownloader
MyMacUpdater
MyShopCoupon
Mughthesece Personal

Un pannello Profili in Preferenze di Sistema dal nome AdminPrefs

In più un sacco di roba seminata nel sistema.
Come potrete leggere nei post degli utenti che se lo sono trovato, segnalati sopra.
Perché poi tutta quella robaccia continua ad instillare quitidianamente, in navigazione, altro adware.
Man mano che trova pagine di siti che lo contengono o in pagina in cui viene redirettata la navigazione.

Lo script agisce subito, come segnala il sito CarbonBlack che lo ha analizzato
https://goo.gl/B5UFdF

Raccoglie informazioni sul sistema, versione e IOPlatformUUID
Genera un GUID di sessione utilizzando uuidgen
Crea un URL personalizzato utilizzando quelle informazioni per scaricare zip tramite curl
Crea una cartella in /private/var/tmp per ospitare gli zip e decomprimerli
Esegue binario utilizzando privilegi chmod + x
Esegue il payload utilizzando $ session_guid e $ volume_name
Esegue infine un killall per nascondere il misfatto dopo averlo attivato.

E poi, via via. scala sempre di più il sistema, acquista altri privilegi, procurando disordine, rallentamenti e fastidi vari.
Nulla di grave, ancora non sono segnalati furti di password e documenti, né installazione di ramsonware o altre cose del genere.

Cosa fare?
Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema
E poi la sola importazione dei puri dati utente senza null'altro.

Cosa non fare
Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.

Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:

Cosa fare nell'attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l'aggiornamento di FlashPlayer.
L'unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/

Io indico questi sistemi che, mio parere, proteggono da inconvenienti di vario tipo.
Quelle attualmente da me testate, che uso e ritengo utili, sono:

Santa, sicurezza a lista bianca
https://github.com/google/santa

F Secure X-Fence, sorveglianza cartelle critiche
https://beta.f-secure.com/key/XFence

BlockBlock, sorveglianza cartelle critiche
https://objective-see.com/products/blockblock.html

File Spy, analizzatore di applicazioni
https://itunes.apple.com/us/app/file-sp ... 5479?mt=12

Suspicious Package, analizzatore di pacchetti
http://www.mothersruin.com/software/SuspiciousPackage/

Murus Lite, personal firewall in entrata.
https://www.murusfirewall.com

DetectX Swift, scansione antiadware/antimalware con eliminazione di piccoli problemi e analisi di sistema
https://sqwarq.com/detectx/

Se decidi di installarle è meglio:
- F Secure X-Fence e BlockBlock con estensione dell'accettazione delle regole e avvisi anche agli aggiornamenti
- Non scegliere File Spy come apertura di documenti di un certo tipo oltre la prima volta
- Indicare a Murus Lite la protezione standard a livello 3, senza richiedere altre istruzioni

Altrimenti diventano un po' noiose da utilizzare e vai molto al di là della sicurezza che effettivamente serve.
E non sono strettamente necessarie, sono solo un aiuto aggiuntivo
Direi però obbligatorie in caso di spericolatezza nelle impostazioni del sistema.
Per esempio se installi cosa fuori da AppStore, cambi alcuni default, usi SIMBL e disabiliti il SIP
Ultima modifica di faxus il lun, 25 mar 2019 10:11, modificato 1 volta in totale.

Avatar utente
Jethro
Stato: Non connesso
Expert Retrogamer
Expert Retrogamer
Avatar utente
Iscritto il: sab, 04 lug 2009 22:26
Messaggi: 5253

Top

Ottimo lavoro Faxus, grazie.

Giusto come curiosità vorrei chiedere il perché di questo:
faxus ha scritto:
lun, 25 mar 2019 09:51
Cosa non fare
...
Non navigare in siti che indicano come risolvere il problema.
Il tuo consiglio è solo perché sarebbe inutile visto che al momento una soluzione "standard" per risolvere il problema non c'è, giusto? Per un utente accorto non dovrebbe esserci nessun pericolo nel solo navigare un sito, no?

Immagine MacBook Pro Retina 15" - macOS Mojave 10.14.6
i7 quad-core 2.6GHz, 16GB RAM, SSD 1TB, Iris Pro/GeForce GT 750M

Immagine MacBook Air 11" - macOS Mojave 10.14.6
i7 dual-core 1.7GHz, 8GB RAM, SSD 128GB, HD Graphics 5000

8) La mia piccola collezione di "giochini" :
https://www.flickr.com/photos/140997970@N07/albums

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Jethro ha scritto:
lun, 25 mar 2019 10:06
Ottimo lavoro Faxus, grazie.

Giusto come curiosità vorrei chiedere il perché di questo:
faxus ha scritto:
lun, 25 mar 2019 09:51
Cosa non fare
...
Non navigare in siti che indicano come risolvere il problema.
Il tuo consiglio è solo perché sarebbe inutile visto che al momento una soluzione "standard" per risolvere il problema non c'è, giusto? Per un utente accorto non dovrebbe esserci nessun pericolo nel solo navigare un sito, no?
Il post era piuttosto lungo, quindi non ho aggiunto altre notizie.

Ho navigato cercando di trovare un sito che mi indicasse eventualmente qualcosa che già non conoscessi.
Cliccando su scritte che rinviavano a soluzioni manuali ho invece attivato il download di dmg con installer discutibile.

Inoltre lo script d'installazione di Shlayer apre dei siti di presunto supporto a pulitori per macOS.
In realtà, tramite un meccanismo installato nel sistema, durante la navigazione di quei siti, raccogli altro adware.

Insomma, meno fai, meglio è, pare.

Quindi ripeto, in attesa di una patch, un aggiornamento di sicurezza, Apple, o si aspetta o si reinstalla da zero

Avatar utente
iMaurizio
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: ven, 12 set 2014 03:21
Messaggi: 3845

Top

Il fatto che il punto di inizio sia una falsa necessità di aggiornamento di Flash Player, con una finestra anch'essa falsa creata appositamente per simulare la procedura e ingannare l'utente, non è di per sé un reato informatico palese contro il quale Adobe ed Apple potrebbero con facilità rompere le scatole a quegli sviluppatori ?

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
iMaurizio ha scritto:
lun, 25 mar 2019 10:34
Il fatto che il punto di inizio sia una falsa necessità di aggiornamento di Flash Player, con una finestra anch'essa falsa creata appositamente per simulare la procedura e ingannare l'utente, non è di per sé un reato informatico palese contro il quale Adobe ed Apple potrebbero con facilità rompere le scatole a quegli sviluppatori ?
Il fatto è che quegli annunci sono su siti di Torrent, streaming e download illegale.

Cose di per sé già fuorilegge e in genere ospitati su server non rintracciabili.
O fuori dalla giurisdizione di stati di stati che hanno sottoscritto le convenzioni internazionali su cui si potrebbe agire

Avatar utente
Alberto.G
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: dom, 22 gen 2017 20:34
Messaggi: 3065
Località: Fvg

Top

Non posso che aggiungere anch'io un commento :

Ottimo lavoro Faxus, grazie per i tuoi aiuti!

iMac (Retina 4K, 21.5-inch, Late 2015) Mod.16,2 - Processore 3,1 GHz Intel Core i5 (i5-5675R) CPU 4-core
Memoria 8 GB 1867 MHz DDR3 - Scheda grafica Intel Iris Pro Graphics 6200 1536 MB
sistema presente: macOS MONTEREY versione 12.7.4 (21H1123) dal 08/03/2024 ore 09:29

Avatar utente
giammyboy
Stato: Non connesso
Pietra Miliare Maccanica
Pietra Miliare Maccanica
Avatar utente
Iscritto il: mer, 06 feb 2013 11:58
Messaggi: 1271
Località: Bologna

Top

Grande Faxus.

Interessante e molto istruttivo. :thumbleft:
 iMac 27" (Mid 2010) • 2,93 GHz Intel Core i7 • 8 GB DDR3 - 1333 • ATI Radeon HD 5750 1020 • OS X 10.13.6 High Sierra
 MacBook Pro 15‭" (Mid 2012‭) • 2,3‭ ‬GHz Intel Core i7‭ • 8‭ ‬GB DDR3 - 1600‭ • NVIDIA GeForce GT 650M 512‭ • OS X 10.13.6 High Sierra
 iPad 4 mini • 64 GB • iOS 11.2.2
 iPhone 14 • 128 GB • iOS 16.7

Avatar utente
Maurizio
Stato: Non connesso
Stella nascente
Stella nascente
Avatar utente
Iscritto il: mer, 15 ott 2008 10:15
Messaggi: 972
Località: In mezzo alla Campania

Top

Grazie mille faxus per la tua disponibilità nel tenerci aggiornati su queste attività che possono indurci a ospitare nei nostri Mac SW perniciosi. :hello1:

melaimpazzita
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: lun, 30 apr 2018 09:29
Messaggi: 32

Top

Grazie per le preziose e , come sempre , dettagliate info .

tipologia
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mar, 28 feb 2012 22:20
Messaggi: 42

Top

faxus..sei un grande

grazie

kext
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Iscritto il: mer, 04 mar 2015 13:18
Messaggi: 5580

Top

ecco l'articolo, facile e comodo da condividere!

https://www.imaccanici.org/shlayer-e-va ... per-macos/

Avatar utente
Paolofast
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 5564

Top

Stanotte è uscito MacOs 10.14.4 (con aggiornamenti anche di sicurezza) e gli aggiornamenti di sicurezza per Sierra e High Sierra.
faxus ha scritto:
lun, 25 mar 2019 09:51
Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Sarà questo? Speriamo.

Nel frattempo sono sicuro che, appena disponibili le informazioni, faxus e/o altri esperti di sicurezza ce lo sapranno dire.
*
*
“Non so tutto, so solo quello che conosco” Hanekawa Tsubasa.

Avatar utente
RickS
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 1244

Top

Innanzi tutto grazie a faxus ed a tutti gli altri che si prodigano per trovare soluzioni per la nostra sicurezza,

Per faxus,
Riguardo a Malwarebytes premium visto che consigli di non usarlo, con che cosa può essere sostituito a parte DetectX Swift che già uso.
A me servirebbe qualcosa che riconoscesse anche i vari malware per windows visto che mi trovo sempre ad avere a che far con chiavette USB provenienti da untenti WIN e con le peggio cose sopra.

PS ho provato a scaricare F Secure X-Fence ma semrba che il link non sia più valido o il programma non più disponibile.

Grazie.
*******************************
Vendo MacBook pro 15 Touch 2016 - 2,9 GHz Quad-Core Intel Core i7
Radeon Pro 460 4 GB Ram 16 GB SSD 1TB
Educazione, comprensione e pazienza sono i presupposti di comunicazione riuscita
Mai confondere l'educazione con la debolezza
In caso di emergenza chiamatemi digitando sul mio avatar il numero 555-610610

Avatar utente
Paolofast
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 5564

Top

RickS ha scritto:
mar, 26 mar 2019 10:01
A me servirebbe qualcosa che riconoscesse anche i vari malware per windows visto che mi trovo sempre ad avere a che far con chiavette USB provenienti da untenti WIN e con le peggio cose sopra.
Dopo aver fatto una battaglia disperata, ho rinunciato.
Ricevevo un supporto o un file infettato, segnalavo la cosa e la volta dopo di nuovo un altro supporto o un altro file con la stessa porcheria.
A questo punto la mia posizione è diventata che, avendo solo Mac, il malware Windows non mi crea pericoli.
Sta agli utenti Windows tutelarsi.
In soldoni: si arrangino.

Un consiglio?
Fai come me: si arrangino.
*
*
“Non so tutto, so solo quello che conosco” Hanekawa Tsubasa.

Avatar utente
RickS
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 1244

Top

Be si hai ragione, ma il mio è un interesse interessato, interessato ad avere meno rotture possibili per me :), perché poi mi chiamano perché il PC e bloccato, oppure non possono passarmi qualche file per la stessa ragione.

Comunque il mio "problema" rimane tolto Malwarebytes, che in effetti fino ad ora non mi ha dato noie, con cosa la sostituisco per evitarmi i Malware su OS X ?
*******************************
Vendo MacBook pro 15 Touch 2016 - 2,9 GHz Quad-Core Intel Core i7
Radeon Pro 460 4 GB Ram 16 GB SSD 1TB
Educazione, comprensione e pazienza sono i presupposti di comunicazione riuscita
Mai confondere l'educazione con la debolezza
In caso di emergenza chiamatemi digitando sul mio avatar il numero 555-610610

Rispondi

Torna a “Software”

Chi c’è in linea

Visitano il forum: Yandex [Bot] e 3 ospiti