Shlayer e varianti - Altro adware-malware per macOS
Inviato: lun, 25 mar 2019 09:51
Brutte notizie per gli utenti Mac poco accorti, distratti o creduloni.
Alcune varianti di Shlayer, una specie di raccoglitore di adware scoperto in febbraio si stanno diffondendo.
Ne avevamo visto degli aspetti, pur non avendo capito di cosa si trattasse, in alcuni resoconti analizzati.
Per primo quello di Liù.
Obiuankenobi aveva rilevato un adware fastidioso, in dicembre
viewtopic.php?f=9&t=44712
Poi Morgansub aveva ricevuto gli stessi problemi, pochi post dopo.
Infine Liù, come detto, si era aggiunta al topic su SystemExt il 27 dicembre, con segni più pesanti dello stesso problema:
viewtopic.php?f=9&t=44712#p492585
Erano segni di affinamento di Shlayer, la cui edizione come una sorta di trojan horse per macOS è stata definita nel mese di febbraio.
Ameno così dicono alcuni siti e blog sull'argomento.
Ma, visti i nostri utenti, ritengo che risalgano a dicembre.
Adesso l'ho visto anche in Esco
viewtopic.php?f=2&t=44491&start=30#p496772
A cui si aggiunto anche in Gerri
viewtopic.php?f=9&t=45186
Al momento non ho capito come fare per estirpare questo veicolatore di adware.
Ma intanto:
Cos'è Slayer e le sue varianti
e soprattutto, come si installa?
Le notizie più diffuse riguardano alcuni siti di Torrent su annunci per scaricare un magnet.
O alcune pagine di warez, download di film e serie tv o streaming di avvenimenti sportivi.
Tutti segnalano, per poter attivare la funzione, il rilevamento di FlashPlayer obsoleto e ne consigliano l'aggiornamento
A cui segue l'attivazione dell'installer:
Cosa, fa invece, realmente?
Installa, a seconda del tipo di variante:
- un disattivatore di Gatekeeper
- due script non firmati
- uno script non firmato ed uno riconosciuto fraudolentemente dal sistema
- uno script con firma di sviluppatore e certificato contraffatto.
Tutto questo è possibile solo perché è stata concessa la password di amministrazione...
Quindi gli script vengono eseguiti come root.
Come agisce Shlayer?
In sostanza, da quel che ho capito, installa subito alcuni componenti, tra cui segnalo:
Advanced Mac Cleaner
BundleMeUp
Bundlore
ChumSearch
MacOffers
MediaDownloader
MyMacUpdater
MyShopCoupon
Mughthesece Personal
Un pannello Profili in Preferenze di Sistema dal nome AdminPrefs
In più un sacco di roba seminata nel sistema.
Come potrete leggere nei post degli utenti che se lo sono trovato, segnalati sopra.
Perché poi tutta quella robaccia continua ad instillare quitidianamente, in navigazione, altro adware.
Man mano che trova pagine di siti che lo contengono o in pagina in cui viene redirettata la navigazione.
Lo script agisce subito, come segnala il sito CarbonBlack che lo ha analizzato
https://goo.gl/B5UFdF
Raccoglie informazioni sul sistema, versione e IOPlatformUUID
Genera un GUID di sessione utilizzando uuidgen
Crea un URL personalizzato utilizzando quelle informazioni per scaricare zip tramite curl
Crea una cartella in /private/var/tmp per ospitare gli zip e decomprimerli
Esegue binario utilizzando privilegi chmod + x
Esegue il payload utilizzando $ session_guid e $ volume_name
Esegue infine un killall per nascondere il misfatto dopo averlo attivato.
E poi, via via. scala sempre di più il sistema, acquista altri privilegi, procurando disordine, rallentamenti e fastidi vari.
Nulla di grave, ancora non sono segnalati furti di password e documenti, né installazione di ramsonware o altre cose del genere.
Cosa fare?
Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema
E poi la sola importazione dei puri dati utente senza null'altro.
Cosa non fare
Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.
Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:
Cosa fare nell'attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l'aggiornamento di FlashPlayer.
L'unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/
Io indico questi sistemi che, mio parere, proteggono da inconvenienti di vario tipo.
Quelle attualmente da me testate, che uso e ritengo utili, sono:
Santa, sicurezza a lista bianca
https://github.com/google/santa
F Secure X-Fence, sorveglianza cartelle critiche
https://beta.f-secure.com/key/XFence
BlockBlock, sorveglianza cartelle critiche
https://objective-see.com/products/blockblock.html
File Spy, analizzatore di applicazioni
https://itunes.apple.com/us/app/file-sp ... 5479?mt=12
Suspicious Package, analizzatore di pacchetti
http://www.mothersruin.com/software/SuspiciousPackage/
Murus Lite, personal firewall in entrata.
https://www.murusfirewall.com
DetectX Swift, scansione antiadware/antimalware con eliminazione di piccoli problemi e analisi di sistema
https://sqwarq.com/detectx/
Se decidi di installarle è meglio:
- F Secure X-Fence e BlockBlock con estensione dell'accettazione delle regole e avvisi anche agli aggiornamenti
- Non scegliere File Spy come apertura di documenti di un certo tipo oltre la prima volta
- Indicare a Murus Lite la protezione standard a livello 3, senza richiedere altre istruzioni
Altrimenti diventano un po' noiose da utilizzare e vai molto al di là della sicurezza che effettivamente serve.
E non sono strettamente necessarie, sono solo un aiuto aggiuntivo
Direi però obbligatorie in caso di spericolatezza nelle impostazioni del sistema.
Per esempio se installi cosa fuori da AppStore, cambi alcuni default, usi SIMBL e disabiliti il SIP
Alcune varianti di Shlayer, una specie di raccoglitore di adware scoperto in febbraio si stanno diffondendo.
Ne avevamo visto degli aspetti, pur non avendo capito di cosa si trattasse, in alcuni resoconti analizzati.
Per primo quello di Liù.
Obiuankenobi aveva rilevato un adware fastidioso, in dicembre
viewtopic.php?f=9&t=44712
Poi Morgansub aveva ricevuto gli stessi problemi, pochi post dopo.
Infine Liù, come detto, si era aggiunta al topic su SystemExt il 27 dicembre, con segni più pesanti dello stesso problema:
viewtopic.php?f=9&t=44712#p492585
Erano segni di affinamento di Shlayer, la cui edizione come una sorta di trojan horse per macOS è stata definita nel mese di febbraio.
Ameno così dicono alcuni siti e blog sull'argomento.
Ma, visti i nostri utenti, ritengo che risalgano a dicembre.
Adesso l'ho visto anche in Esco
viewtopic.php?f=2&t=44491&start=30#p496772
A cui si aggiunto anche in Gerri
viewtopic.php?f=9&t=45186
Al momento non ho capito come fare per estirpare questo veicolatore di adware.
Ma intanto:
Cos'è Slayer e le sue varianti
e soprattutto, come si installa?
Le notizie più diffuse riguardano alcuni siti di Torrent su annunci per scaricare un magnet.
O alcune pagine di warez, download di film e serie tv o streaming di avvenimenti sportivi.
Tutti segnalano, per poter attivare la funzione, il rilevamento di FlashPlayer obsoleto e ne consigliano l'aggiornamento
A cui segue l'attivazione dell'installer:
Cosa, fa invece, realmente?
Installa, a seconda del tipo di variante:
- un disattivatore di Gatekeeper
- due script non firmati
- uno script non firmato ed uno riconosciuto fraudolentemente dal sistema
- uno script con firma di sviluppatore e certificato contraffatto.
Tutto questo è possibile solo perché è stata concessa la password di amministrazione...
Quindi gli script vengono eseguiti come root.
Come agisce Shlayer?
In sostanza, da quel che ho capito, installa subito alcuni componenti, tra cui segnalo:
Advanced Mac Cleaner
BundleMeUp
Bundlore
ChumSearch
MacOffers
MediaDownloader
MyMacUpdater
MyShopCoupon
Mughthesece Personal
Un pannello Profili in Preferenze di Sistema dal nome AdminPrefs
In più un sacco di roba seminata nel sistema.
Come potrete leggere nei post degli utenti che se lo sono trovato, segnalati sopra.
Perché poi tutta quella robaccia continua ad instillare quitidianamente, in navigazione, altro adware.
Man mano che trova pagine di siti che lo contengono o in pagina in cui viene redirettata la navigazione.
Lo script agisce subito, come segnala il sito CarbonBlack che lo ha analizzato
https://goo.gl/B5UFdF
Raccoglie informazioni sul sistema, versione e IOPlatformUUID
Genera un GUID di sessione utilizzando uuidgen
Crea un URL personalizzato utilizzando quelle informazioni per scaricare zip tramite curl
Crea una cartella in /private/var/tmp per ospitare gli zip e decomprimerli
Esegue binario utilizzando privilegi chmod + x
Esegue il payload utilizzando $ session_guid e $ volume_name
Esegue infine un killall per nascondere il misfatto dopo averlo attivato.
E poi, via via. scala sempre di più il sistema, acquista altri privilegi, procurando disordine, rallentamenti e fastidi vari.
Nulla di grave, ancora non sono segnalati furti di password e documenti, né installazione di ramsonware o altre cose del genere.
Cosa fare?
Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema
E poi la sola importazione dei puri dati utente senza null'altro.
Cosa non fare
Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.
Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:
Cosa fare nell'attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l'aggiornamento di FlashPlayer.
L'unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/
Io indico questi sistemi che, mio parere, proteggono da inconvenienti di vario tipo.
Quelle attualmente da me testate, che uso e ritengo utili, sono:
Santa, sicurezza a lista bianca
https://github.com/google/santa
F Secure X-Fence, sorveglianza cartelle critiche
https://beta.f-secure.com/key/XFence
BlockBlock, sorveglianza cartelle critiche
https://objective-see.com/products/blockblock.html
File Spy, analizzatore di applicazioni
https://itunes.apple.com/us/app/file-sp ... 5479?mt=12
Suspicious Package, analizzatore di pacchetti
http://www.mothersruin.com/software/SuspiciousPackage/
Murus Lite, personal firewall in entrata.
https://www.murusfirewall.com
DetectX Swift, scansione antiadware/antimalware con eliminazione di piccoli problemi e analisi di sistema
https://sqwarq.com/detectx/
Se decidi di installarle è meglio:
- F Secure X-Fence e BlockBlock con estensione dell'accettazione delle regole e avvisi anche agli aggiornamenti
- Non scegliere File Spy come apertura di documenti di un certo tipo oltre la prima volta
- Indicare a Murus Lite la protezione standard a livello 3, senza richiedere altre istruzioni
Altrimenti diventano un po' noiose da utilizzare e vai molto al di là della sicurezza che effettivamente serve.
E non sono strettamente necessarie, sono solo un aiuto aggiuntivo
Direi però obbligatorie in caso di spericolatezza nelle impostazioni del sistema.
Per esempio se installi cosa fuori da AppStore, cambi alcuni default, usi SIMBL e disabiliti il SIP
, perché poi mi chiamano perché il PC e bloccato, oppure non possono passarmi qualche file per la stessa ragione.