Shlayer e varianti - Altro adware-malware per macOS

Mac OS X e le sue Applicazioni

Moderatore: ModiMaccanici

faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26207
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 09:51

Brutte notizie per gli utenti Mac poco accorti, distratti o creduloni.

Alcune varianti di Shlayer, una specie di raccoglitore di adware scoperto in febbraio si stanno diffondendo.
Ne avevamo visto degli aspetti, pur non avendo capito di cosa si trattasse, in alcuni resoconti analizzati.

Per primo quello di Liù.
Obiuankenobi aveva rilevato un adware fastidioso, in dicembre
viewtopic.php?f=9&t=44712
Poi Morgansub aveva ricevuto gli stessi problemi, pochi post dopo.

Infine Liù, come detto, si era aggiunta al topic su SystemExt il 27 dicembre, con segni più pesanti dello stesso problema:
viewtopic.php?f=9&t=44712#p492585

Erano segni di affinamento di Shlayer, la cui edizione come una sorta di trojan horse per macOS è stata definita nel mese di febbraio.
Ameno così dicono alcuni siti e blog sull'argomento.
Ma, visti i nostri utenti, ritengo che risalgano a dicembre.

Adesso l'ho visto anche in Esco
viewtopic.php?f=2&t=44491&start=30#p496772
A cui si aggiunto anche in Gerri
viewtopic.php?f=9&t=45186

Al momento non ho capito come fare per estirpare questo veicolatore di adware.
Ma intanto:

Cos'è Slayer e le sue varianti
e soprattutto, come si installa?

Le notizie più diffuse riguardano alcuni siti di Torrent su annunci per scaricare un magnet.
O alcune pagine di warez, download di film e serie tv o streaming di avvenimenti sportivi.
Tutti segnalano, per poter attivare la funzione, il rilevamento di FlashPlayer obsoleto e ne consigliano l'aggiornamento

Immagine

A cui segue l'attivazione dell'installer:

Immagine

Cosa, fa invece, realmente?
Installa, a seconda del tipo di variante:
- un disattivatore di Gatekeeper
- due script non firmati
- uno script non firmato ed uno riconosciuto fraudolentemente dal sistema
- uno script con firma di sviluppatore e certificato contraffatto.

Tutto questo è possibile solo perché è stata concessa la password di amministrazione...
Quindi gli script vengono eseguiti come root.

Come agisce Shlayer?
In sostanza, da quel che ho capito, installa subito alcuni componenti, tra cui segnalo:

Advanced Mac Cleaner
BundleMeUp
Bundlore
ChumSearch
MacOffers
MediaDownloader
MyMacUpdater
MyShopCoupon
Mughthesece Personal

Un pannello Profili in Preferenze di Sistema dal nome AdminPrefs

In più un sacco di roba seminata nel sistema.
Come potrete leggere nei post degli utenti che se lo sono trovato, segnalati sopra.
Perché poi tutta quella robaccia continua ad instillare quitidianamente, in navigazione, altro adware.
Man mano che trova pagine di siti che lo contengono o in pagina in cui viene redirettata la navigazione.

Lo script agisce subito, come segnala il sito CarbonBlack che lo ha analizzato
https://goo.gl/B5UFdF

Raccoglie informazioni sul sistema, versione e IOPlatformUUID
Genera un GUID di sessione utilizzando uuidgen
Crea un URL personalizzato utilizzando quelle informazioni per scaricare zip tramite curl
Crea una cartella in /private/var/tmp per ospitare gli zip e decomprimerli
Esegue binario utilizzando privilegi chmod + x
Esegue il payload utilizzando $ session_guid e $ volume_name
Esegue infine un killall per nascondere il misfatto dopo averlo attivato.

E poi, via via. scala sempre di più il sistema, acquista altri privilegi, procurando disordine, rallentamenti e fastidi vari.
Nulla di grave, ancora non sono segnalati furti di password e documenti, né installazione di ramsonware o altre cose del genere.

Cosa fare?
Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema
E poi la sola importazione dei puri dati utente senza null'altro.

Cosa non fare
Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.

Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:

Cosa fare nell'attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l'aggiornamento di FlashPlayer.
L'unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/

Io indico questi sistemi che, mio parere, proteggono da inconvenienti di vario tipo.
Quelle attualmente da me testate, che uso e ritengo utili, sono:

Santa, sicurezza a lista bianca
https://github.com/google/santa

F Secure X-Fence, sorveglianza cartelle critiche
https://beta.f-secure.com/key/XFence

BlockBlock, sorveglianza cartelle critiche
https://objective-see.com/products/blockblock.html

File Spy, analizzatore di applicazioni
https://itunes.apple.com/us/app/file-sp ... 5479?mt=12

Suspicious Package, analizzatore di pacchetti
http://www.mothersruin.com/software/SuspiciousPackage/

Murus Lite, personal firewall in entrata.
https://www.murusfirewall.com

DetectX Swift, scansione antiadware/antimalware con eliminazione di piccoli problemi e analisi di sistema
https://sqwarq.com/detectx/

Se decidi di installarle è meglio:
- F Secure X-Fence e BlockBlock con estensione dell'accettazione delle regole e avvisi anche agli aggiornamenti
- Non scegliere File Spy come apertura di documenti di un certo tipo oltre la prima volta
- Indicare a Murus Lite la protezione standard a livello 3, senza richiedere altre istruzioni

Altrimenti diventano un po' noiose da utilizzare e vai molto al di là della sicurezza che effettivamente serve.
E non sono strettamente necessarie, sono solo un aiuto aggiuntivo
Direi però obbligatorie in caso di spericolatezza nelle impostazioni del sistema.
Per esempio se installi cosa fuori da AppStore, cambi alcuni default, usi SIMBL e disabiliti il SIP
Ultima modifica di faxus il lun, 25 mar 2019 10:11, modificato 1 volta in totale.
Jethro
Expert Retrogamer
Expert Retrogamer
Avatar utente
Iscritto il: sab, 04 lug 2009 22:26
Messaggi: 2487
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 10:06

Ottimo lavoro Faxus, grazie.

Giusto come curiosità vorrei chiedere il perché di questo:
faxus ha scritto:
lun, 25 mar 2019 09:51
Cosa non fare
...
Non navigare in siti che indicano come risolvere il problema.
Il tuo consiglio è solo perché sarebbe inutile visto che al momento una soluzione "standard" per risolvere il problema non c'è, giusto? Per un utente accorto non dovrebbe esserci nessun pericolo nel solo navigare un sito, no?
MacBook Pro Retina 15"
i7 quad-core 2.6GHz, 16GB RAM, SSD 1TB, Iris Pro/GeForce GT 750M

----
8) La mia piccola collezione di "giochini":
https://www.flickr.com/photos/140997970@N07/albums
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26207
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 10:20

Jethro ha scritto:
lun, 25 mar 2019 10:06
Ottimo lavoro Faxus, grazie.

Giusto come curiosità vorrei chiedere il perché di questo:
faxus ha scritto:
lun, 25 mar 2019 09:51
Cosa non fare
...
Non navigare in siti che indicano come risolvere il problema.
Il tuo consiglio è solo perché sarebbe inutile visto che al momento una soluzione "standard" per risolvere il problema non c'è, giusto? Per un utente accorto non dovrebbe esserci nessun pericolo nel solo navigare un sito, no?
Il post era piuttosto lungo, quindi non ho aggiunto altre notizie.

Ho navigato cercando di trovare un sito che mi indicasse eventualmente qualcosa che già non conoscessi.
Cliccando su scritte che rinviavano a soluzioni manuali ho invece attivato il download di dmg con installer discutibile.

Inoltre lo script d'installazione di Shlayer apre dei siti di presunto supporto a pulitori per macOS.
In realtà, tramite un meccanismo installato nel sistema, durante la navigazione di quei siti, raccogli altro adware.

Insomma, meno fai, meglio è, pare.

Quindi ripeto, in attesa di una patch, un aggiornamento di sicurezza, Apple, o si aspetta o si reinstalla da zero
iMaurizio
Expert
Expert
Avatar utente
Iscritto il: ven, 12 set 2014 03:21
Messaggi: 2138
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 10:34

Il fatto che il punto di inizio sia una falsa necessità di aggiornamento di Flash Player, con una finestra anch'essa falsa creata appositamente per simulare la procedura e ingannare l'utente, non è di per sé un reato informatico palese contro il quale Adobe ed Apple potrebbero con facilità rompere le scatole a quegli sviluppatori ?
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26207
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 10:44

iMaurizio ha scritto:
lun, 25 mar 2019 10:34
Il fatto che il punto di inizio sia una falsa necessità di aggiornamento di Flash Player, con una finestra anch'essa falsa creata appositamente per simulare la procedura e ingannare l'utente, non è di per sé un reato informatico palese contro il quale Adobe ed Apple potrebbero con facilità rompere le scatole a quegli sviluppatori ?
Il fatto è che quegli annunci sono su siti di Torrent, streaming e download illegale.

Cose di per sé già fuorilegge e in genere ospitati su server non rintracciabili.
O fuori dalla giurisdizione di stati di stati che hanno sottoscritto le convenzioni internazionali su cui si potrebbe agire
Alberto.G
Maccanico attivo
Maccanico attivo
Avatar utente
Iscritto il: dom, 22 gen 2017 20:34
Messaggi: 278
Località: ai confini dell'Impero Romano
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 12:17

Non posso che aggiungere anch'io un commento :

Ottimo lavoro Faxus, grazie per i tuoi aiuti!

sono aggiornato a macOS Mojave - Versione macOS 10.14.6 (18G84) dal 22/07/2019 ore 23:11
+ aggiornamento supplementare di Mojave 10.14.6 (18G87) del 1°/08/2019 ore 23:00
iMac (Retina 4K, 21.5-inch, Late 2015) - Processore 3,1 GHz Intel Core i5 (i5-5675R) CPU: 4-core
Memoria 8 GB 1867 MHz DDR3 - Scheda grafica Intel Iris Pro Graphics 6200 1536 MB
giammyboy
Pietra Miliare Maccanica
Pietra Miliare Maccanica
Avatar utente
Iscritto il: mer, 06 feb 2013 11:58
Messaggi: 1099
Località: Bologna
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 12:18

Grande Faxus.

Interessante e molto istruttivo. :thumbleft:
Never say never!

 iMac 27" (Mid 2010) • 2,93 GHz Intel Core i7 • 8 GB DDR3 - 1333 • ATI Radeon HD 5750 1020 • OS X 10.11.6 El Capitan
 MacBook Pro 15‭" (Mid 2012‭) • 2,3‭ ‬GHz Intel Core i7‭ • 8‭ ‬GB DDR3 - 1600‭ • NVIDIA GeForce GT 650M 512‭ • OS X 10.11.6 El Capitan
 iPad 4 mini • 64 GB • iOS 11.2.2
 iPhone 6s • 64 GB • iOS 12.2
Maurizio
Stella nascente
Stella nascente
Avatar utente
Iscritto il: mer, 15 ott 2008 10:15
Messaggi: 921
Località: In mezzo alla Campania
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 18:04

Grazie mille faxus per la tua disponibilità nel tenerci aggiornati su queste attività che possono indurci a ospitare nei nostri Mac SW perniciosi. :hello1:
melaimpazzita
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: lun, 30 apr 2018 09:29
Messaggi: 11
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 21:11

Grazie per le preziose e , come sempre , dettagliate info .
tipologia
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mar, 28 feb 2012 22:20
Messaggi: 42
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 21:38

faxus..sei un grande

grazie
kext
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: mer, 04 mar 2015 13:18
Messaggi: 4514
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: lun, 25 mar 2019 22:18

ecco l'articolo, facile e comodo da condividere!

https://www.imaccanici.org/shlayer-e-va ... per-macos/
:!: Ultimo articolo: Sito web in Alpha test :!:
ImmagineImmagine
Paolofast
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 1698
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mar, 26 mar 2019 09:30

Stanotte è uscito MacOs 10.14.4 (con aggiornamenti anche di sicurezza) e gli aggiornamenti di sicurezza per Sierra e High Sierra.
faxus ha scritto:
lun, 25 mar 2019 09:51
Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Sarà questo? Speriamo.

Nel frattempo sono sicuro che, appena disponibili le informazioni, faxus e/o altri esperti di sicurezza ce lo sapranno dire.
RickS
Maccanico attivo
Maccanico attivo
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 381
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mar, 26 mar 2019 10:01

Innanzi tutto grazie a faxus ed a tutti gli altri che si prodigano per trovare soluzioni per la nostra sicurezza,

Per faxus,
Riguardo a Malwarebytes premium visto che consigli di non usarlo, con che cosa può essere sostituito a parte DetectX Swift che già uso.
A me servirebbe qualcosa che riconoscesse anche i vari malware per windows visto che mi trovo sempre ad avere a che far con chiavette USB provenienti da untenti WIN e con le peggio cose sopra.

PS ho provato a scaricare F Secure X-Fence ma semrba che il link non sia più valido o il programma non più disponibile.

Grazie.
Paolofast
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 1698
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mar, 26 mar 2019 10:10

RickS ha scritto:
mar, 26 mar 2019 10:01
A me servirebbe qualcosa che riconoscesse anche i vari malware per windows visto che mi trovo sempre ad avere a che far con chiavette USB provenienti da untenti WIN e con le peggio cose sopra.
Dopo aver fatto una battaglia disperata, ho rinunciato.
Ricevevo un supporto o un file infettato, segnalavo la cosa e la volta dopo di nuovo un altro supporto o un altro file con la stessa porcheria.
A questo punto la mia posizione è diventata che, avendo solo Mac, il malware Windows non mi crea pericoli.
Sta agli utenti Windows tutelarsi.
In soldoni: si arrangino.

Un consiglio?
Fai come me: si arrangino.
RickS
Maccanico attivo
Maccanico attivo
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 381
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mar, 26 mar 2019 10:32

Be si hai ragione, ma il mio è un interesse interessato, interessato ad avere meno rotture possibili per me :), perché poi mi chiamano perché il PC e bloccato, oppure non possono passarmi qualche file per la stessa ragione.

Comunque il mio "problema" rimane tolto Malwarebytes, che in effetti fino ad ora non mi ha dato noie, con cosa la sostituisco per evitarmi i Malware su OS X ?
Rispondi