Shlayer e varianti - Altro adware-malware per macOS

Mac OS X e le sue Applicazioni

Moderatore: ModiMaccanici

Paolofast
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 2774
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 10:08

Al di là dei vari tools di protezione, si è capito se MacOs 10.14.4 e gli aggiornamenti di sicurezza per Sierra e High Sierra lo bloccano?
Si ha notizia di un'eventuale lista di file da eliminare per eradicarlo?
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 27886
Località: Circondato dalle bufale
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 10:29

Paolofast ha scritto:
mer, 27 mar 2019 10:08
Al di là dei vari tools di protezione, si è capito se MacOs 10.14.4 e gli aggiornamenti di sicurezza per Sierra e High Sierra lo bloccano?
Si ha notizia di un'eventuale lista di file da eliminare per eradicarlo?
Gli ultimi aggiornamenti di sicurezza in teoria dovrebbero bloccare il meccanismo di scarico ed espansione dello script.

Ma Apple non rilascia mai i particolare degli aggiornamenti di sicurezza.
Né indica quali patch aggiunge alle impostazioni di sistema.

La lista dei file in parte è nota.
Ma in parte non può esserlo perché vengono generati con un nome casuali.
Nomi che, come in Pirrit, vengono presi da dizionari di botanica, chimica o medicina.
Altri ancora identificati con caratteri alfanumerici casuali.

La soluzione c'è, per fare uno script, presupponendo solo che Apple abbia inserito la patch nell'aggiornamento.
E che l'utente l'abbia eseguito.
Poi bisognerebbe inserire standard un elenco dei nomi conosciuti.
E una selezione manuale dei file sconosciuti.

Quest'ultima potrebbe anche essere basata sulla una lista bianca.
Assumendola da Santa, da EtreCheck o del vecchio AdwareMedic aggiornato e parte di Malwarebytes.

Ho provato a farlo, grossolanamente, per cautela.
E non ha funzionato perché non ho potuto individuare tutti gli elementi nei documenti nascosti dell'utente.
E forse tra questi, ammesso che sia possibile, è il file mobile di auto replica.

Quindi, a mio parere e fino a quando non venga trovato uno script funzionante, resta solo la reinstallazione pulita.

Fare uno script che vada a raschiare nei /private/var rischia la corruzione e la successiva reinstallazione del sistema.
Come successe a me quando ne testai uno modificato da me, di uno inutile che girava in rete per Pirrit...
RickS
Maccanico attivo
Maccanico attivo
Iscritto il: dom, 04 mag 2008 19:42
Messaggi: 451
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 11:16

faxus ha scritto:
mer, 27 mar 2019 09:06
RickS ha scritto:
mar, 26 mar 2019 21:12
... prima di installarlo, vorrei capire cosa comporti la disabilitazione della NVRAM protections...
Disabilita il SIP.
L'avevo supposto, francamente trovo un po' un controsenso che un programma che dovrebbe aumentare la sicurezza di OSX per funzionare debba eliminare una delle componenti della sicurezza di OS X creata proprio da Apple.
D'altra parte è comunque un programma in beta quindi ci può anche stare.

Per ora mi limiterò ad usare BlockBlock
faxus ha scritto:
mer, 27 mar 2019 09:06
RickS ha scritto:
mar, 26 mar 2019 21:12
... Per quanto riguarda File Spy, mi sai dire qualcosa ?...
RickS ha scritto:
mer, 27 mar 2019 08:00
Kernel Panic ha scritto:
mer, 27 mar 2019 04:16
Questo? >>> https://www.macupdate.com/app/mac/54950/file-spy

Io posso dirti che l'ho appena disinstallato, non serviva a un tubo e rompeva pure le scatole (e ho l'impressione che pure gli sviluppatori abbiano deciso di rottamarlo) :evil:
Quando provo a scaricarlo, mi apre App Store e poi mi dice che non è disponibile nel mio paese o nella mia area geografica.
.......

Ti sconsiglio di scaricarlo da Macupdate perché quel sito saltuariamente inserisce software indesiderato in bundle nei download.
(o perlomeno lo ha fatto in passato)
Per fortuna l'ha fatto per un brevissimo periodo diversi anni fa, e solo per chi non era abbonato al loro servizio, visto la pioggia di critiche che ricevette fecero marcia indietro quasi subito, lo so perché all'epoca ero abbonato al loro servizio, e lo sono tutt'ora.
Su MacUpdate comunque c'è solo il link ad App Store, quindi il problema rimane.
Zacksit
Expert Translator
Expert Translator
Avatar utente
Iscritto il: mar, 16 dic 2014 17:14
Messaggi: 1444
Località: Kaputt Mundi
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 11:44

Apple ha smesso di pubblicare gli aggiornamenti di sicurezza per El Capitan?
“For every complex problem there is an answer that is clear, simple, and wrong.” ― H.L. Mencken
"Sometimes it is the people no one can imagine anything of, who do the things no one can imagine.” ― Alan Turing

iMac 20", metà 2007 RAM 6GB SSD + 3 glotte fluenti, 1 facciamo che me la cavo, 1 x finta dopo qualche birra
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 27886
Località: Circondato dalle bufale
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 11:47

Zacksit ha scritto:
mer, 27 mar 2019 11:44
Apple ha smesso di pubblicare gli aggiornamenti di sicurezza per El Capitan?
Sì.

Ne parlavamo con Jethro, qui:
https://www.imaccanici.org/forum/viewto ... 65#p497656
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 27886
Località: Circondato dalle bufale
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 11:51

RickS ha scritto:
mer, 27 mar 2019 11:16
... Per quanto riguarda File Spy... Su MacUpdate comunque c'è solo il link ad App Store, quindi il problema rimane.
C'è anche qui sul Forum (ma non ricordo dove...).
Lo ha messo Fragrua...

Aspetta che lo indichi lui.
O che lo trovo
Zacksit
Expert Translator
Expert Translator
Avatar utente
Iscritto il: mar, 16 dic 2014 17:14
Messaggi: 1444
Località: Kaputt Mundi
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 11:52

Grazie per tutto ƒaxus!
Facendo una ricerca di Shlayer sul sito di Carbon Black che hai indicato, oltre all'articolo che hai citato, potrebbe interessare che è saltato fuori anche un annuncio su un webinar per il 4 aprile dove analizzeranno a fondo Shlayer. Il webinar è intitolato Dissecting Shlayer Malware via MITRE ATT&CK™
https://www.carbonblack.com/resource/di ... re-attack/
“For every complex problem there is an answer that is clear, simple, and wrong.” ― H.L. Mencken
"Sometimes it is the people no one can imagine anything of, who do the things no one can imagine.” ― Alan Turing

iMac 20", metà 2007 RAM 6GB SSD + 3 glotte fluenti, 1 facciamo che me la cavo, 1 x finta dopo qualche birra
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 27886
Località: Circondato dalle bufale
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 11:56

Zacksit ha scritto:
mer, 27 mar 2019 11:52
Grazie per tutto ƒaxus!
Facendo una ricerca di Shlayer sul sito di Carbon Black che hai indicato, oltre all'articolo che hai citato, potrebbe interessare che è saltato fuori anche un annuncio su un webinar per il 4 aprile dove analizzeranno a fondo Shlayer. Il webinar è intitolato Dissecting Shlayer Malware via MITRE ATT&CK™
https://www.carbonblack.com/resource/di ... re-attack/
Grazie, ottimo.

Sono anche iscritto su Webinar, dovrei comunque accedere agli atti
Kernel Panic
Software Expert Gold
Software Expert Gold
Avatar utente
Iscritto il: sab, 08 gen 2011 14:03
Messaggi: 26333
Località: Sicilia
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 27 mar 2019 16:19

faxus ha scritto:
mer, 27 mar 2019 09:06
.... Il che significa che non posso usare SIMBL, brew, GeekTool ecc.
Non so se ho capito bene ma io uso brew, lo aggiorno regolarmente e non ho mai disabilitato SIP .....





faxus ha scritto:
mer, 27 mar 2019 09:06
.... È, effettivamente, un modo piuttosto disinvolto, insieme al disattivare il Gatekeeper, di usare il sistema.
Ma appunto per quello che uso tutti questi strumenti di protezione.
Piuttosto disinvolto?
Scusa ma, se la racconti così ..... che bisogno c'è di complicarsi la vita in questo modo? Non disabilitare nulla e non avrai bisogno di installare nulla .....
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 27886
Località: Circondato dalle bufale
Contatta:

Top

Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: gio, 28 mar 2019 14:45

Kernel Panic ha scritto:
mer, 27 mar 2019 16:19
... io uso brew, lo aggiorno regolarmente e non ho mai disabilitato SIP ...
Sì e no.

L'avevo spiegato qui:
viewtopic.php?f=33&t=31583&start=45#p389878

Devi comunque applicare alcuni permessi.
Per avere piena funzionalità è meglio disabilitare il SIP.

In ogni caso (pur se resta un parere) chi usa brew è un esperto.
E un macuser esperto non ha bisogno del SIP
Kernel Panic ha scritto:
mer, 27 mar 2019 16:19
... che bisogno c'è di complicarsi la vita in questo modo? Non disabilitare nulla e non avrai bisogno di installare nulla ...
Chi ha parlato di bisogni?...

Non c'è nessun bisogno di divertirsi, nella vita.
Non c'è nessun bisogno di divertirsi col Mac.

Si può benissimo morire di noia
Kernel Panic
Software Expert Gold
Software Expert Gold
Avatar utente
Iscritto il: sab, 08 gen 2011 14:03
Messaggi: 26333
Località: Sicilia
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: gio, 28 mar 2019 15:11

faxus ha scritto:
gio, 28 mar 2019 14:45
Chi ha parlato di bisogni?...

Non c'è nessun bisogno di divertirsi, nella vita.
Non c'è nessun bisogno di divertirsi col Mac.

Si può benissimo morire di noia
Chiarissimo e condivisibile :)
Kernel Panic
Software Expert Gold
Software Expert Gold
Avatar utente
Iscritto il: sab, 08 gen 2011 14:03
Messaggi: 26333
Località: Sicilia
Oggetto del messaggio: Re: MacPerformance

Messaggio Inviato: gio, 28 mar 2019 15:14

Vedo solo adesso che anche il supporto Apple si è occupato in passato del problema, è evidente che questo tipo di malware cambia continuamente nome e forma:

>>> https://support.apple.com/en-us/HT202225

>>> https://support.apple.com/it-it/HT202225

Mi era sfuggito anche il topic e l'articolo dell'admin :oops:

>>> viewtopic.php?p=108485

>>> https://www.imaccanici.org/rimuovere-macdefender/
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 27886
Località: Circondato dalle bufale
Contatta:

Top

Oggetto del messaggio: Re: MacPerformance

Messaggio Inviato: gio, 28 mar 2019 16:50

Kernel Panic ha scritto:
gio, 28 mar 2019 15:14
... anche il supporto Apple si è occupato in passato del problema...
Non è così, questo è un'altra cosa.

È un derivato di Pirrit, non di MacDefender.
Proprio per differenze strutturali.

Ed una sostanziale differenza, la capacità di autoreplicarsi.
Più tenace di Pirrit, ma meno pericoloso perché non fabbrica nuovi utenti.

Però, per favore, continuiamo nella discussione apposita su Shlayer.
Dove sarebbe bene spostare questo e il penultimo post
memi
Nuovo Maccanico
Nuovo Maccanico
Iscritto il: dom, 25 ago 2019 17:13
Messaggi: 4
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: dom, 25 ago 2019 19:33

ciao a tutti

sono un povero utente Mac da diversi anni e oggi, dopo aver notato notevoli rallentamenti, ho deciso di controllare quale fosse la causa, trovando l'inaspettato systemExtr tra i processi del sistema... caracollando un po' sul network per trovare qualche risposta mi sono imbattuto in questa discussione ( in realtà prima in quella a questo link https://www.imaccanici.org/forum/viewto ... =9&t=44712)... dato che però non sono certo di cosa sto dicendo e mi sembra che tutti quanti qua ne sappiano 10 volte me, c'è qualcosa che potrei non aver considerato o qualche soluzione alternativa trovata nel frattempo che mi sono perso nel frattempo che potrebbe risolvere il mio problema senza dover reinstallare MacOS??

grazie in anticipo
Kundalini
Expert
Expert
Avatar utente
Iscritto il: ven, 05 lug 2013 20:33
Messaggi: 760
Oggetto del messaggio: Re: Shlayer e varianti - Altro adware-malware per macOS

Messaggio Inviato: mer, 28 ago 2019 11:00

memi ha scritto:
dom, 25 ago 2019 19:33
ciao a tutti

... c'è qualcosa che potrei non aver considerato o qualche soluzione alternativa trovata nel frattempo che mi sono perso nel frattempo che potrebbe risolvere il mio problema senza dover reinstallare MacOS??

grazie in anticipo
Ciao e benvenuto, temo che se si tratta effettivamente di Shlayer non ci siano altre soluzioni oltre a reinstallare.
Prova prima a far girare DetectX, col suo search ed eventualmente carica un suo resoconto così possiamo dargli uno sguardo.

https://sqwarq.com/detectx/

C'è la versione free, non a pagamento, è sufficiente quella.
Se funziona, non aggiustarlo.


MBP 13" late 2010 macOS 10.12.6 Sierra
HD originale deceduto, sostituito con SSD Samsung EVO 850 da 250 GB
Motherboard riparata, aprile 2016
Upgrade RAM a 8 GB, gennaio 2018
Rispondi