Shlayer e varianti – Altro adware-malware per macOS

Brutte notizie per gli utenti Mac poco accorti, distratti o creduloni. Alcune varianti di Shlayer, una specie di raccoglitore di adware scoperto in febbraio si stanno diffondendo. Ne avevamo visto degli aspetti, pur non avendo capito di cosa si trattasse, in alcuni resoconti analizzati. Per primo quello di Liù.
Obiuankenobi aveva rilevato un adware fastidioso, in dicembre
viewtopic.php?f=9&t=44712
Poi Morgansub aveva ricevuto gli stessi problemi, pochi post dopo..

Infine Liù, come detto, si era aggiunta al topic su SystemExt il 27 dicembre, con segni più pesanti dello stesso problema:
viewtopic.php?f=9&t=44712#p492585

Erano segni di affinamento di Shlayer, la cui edizione come una sorta di trojan horse per macOS è stata definita nel mese di febbraio. Ameno così dicono alcuni siti e blog sull’argomento. Ma, visti i nostri utenti, ritengo che risalgano a dicembre.

Adesso l’ho visto anche in Esco
viewtopic.php?f=2&t=44491&start=30#p496772
A cui si aggiunto anche Gerri
viewtopic.php?f=9&t=45186

Al momento non ho capito come fare per estirpare questo veicolatore di adware. Ma intanto:

Cos’è Shlayer e le sue varianti
e soprattutto, come si installa?

Le notizie più diffuse riguardano alcuni siti di Torrent su annunci per scaricare un magnet. O alcune pagine di warez, download di film e serie tv o streaming di avvenimenti sportivi. Tutti segnalano, per poter attivare la funzione, il rilevamento di FlashPlayer obsoleto e ne consigliano l’aggiornamento

A cui segue l’attivazione dell’installer:

Cosa, fa invece, realmente?
Installa, a seconda del tipo di variante:
– un disattivatore di Gatekeeper
– due script non firmati
– uno script non firmato ed uno riconosciuto fraudolentemente dal sistema
– uno script con firma di sviluppatore e certificato contraffatto.

Tutto questo è possibile solo perché è stata concessa la password di amministrazione… Quindi gli script vengono eseguiti come root.

Come agisce Shlayer?

In sostanza, da quel che ho capito, installa subito alcuni componenti, tra cui segnalo

  • Advanced Mac Cleaner
  • BundleMeUp
  • Bundlore
  • ChumSearch
  • MacOffers
  • MediaDownloader
  • MyMacUpdater
  • MyShopCoupon
  • Mughthesece Personal

Un pannello Profili in Preferenze di Sistema dal nome AdminPrefs

In più un sacco di roba seminata nel sistema.
Come potrete leggere nei post degli utenti che se lo sono trovato, segnalati sopra.
Perché poi tutta quella robaccia continua ad installare quotidianamente, in navigazione, altro adware.
Man mano che trova pagine di siti che lo contengono o in pagine in cui viene redirettata la navigazione.

Lo script agisce subito, come segnala il sito CarbonBlack che lo ha analizzato
https://goo.gl/B5UFdF

Raccoglie informazioni sul sistema, versione e IOPlatformUUID
Genera un GUID di sessione utilizzando uuidgen
Crea un URL personalizzato utilizzando quelle informazioni per scaricare zip tramite curl
Crea una cartella in /private/var/tmp per ospitare gli zip e decomprimerli
Esegue binario utilizzando privilegi chmod + x
Esegue il payload utilizzando $ session_guid e $ volume_name
Esegue infine un killall per nascondere il misfatto dopo averlo attivato.

E poi, via via. scala sempre di più il sistema, acquista altri privilegi, procurando disordine, rallentamenti e fastidi vari.
Nulla di grave, ancora non sono segnalati furti di password e documenti, né installazione di ramsonware o altre cose del genere.

Cosa fare?

Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema.
E poi la sola importazione dei puri dati utente senza null’altro.

Cosa non fare?

Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.

Sono sicuro, come già avvenuto in passato, che Apple interverrà con un’aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:

Cosa fare nell’attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l’aggiornamento di FlashPlayer.
L’unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/

Io indico questi sistemi che, mio parere, proteggono da inconvenienti di vario tipo.
Quelle attualmente da me testate, che uso e ritengo utili, sono:

Santa, sicurezza a lista bianca
https://github.com/google/santa

F Secure X-Fence, sorveglianza cartelle critiche
https://beta.f-secure.com/key/XFence

BlockBlock, sorveglianza cartelle critiche
https://objective-see.com/products/blockblock.html

File Spy, analizzatore di applicazioni
https://itunes.apple.com/us/app/file-sp … 5479?mt=12

Suspicious Package, analizzatore di pacchetti
http://www.mothersruin.com/software/SuspiciousPackage/

Murus Lite, personal firewall in entrata.
https://www.murusfirewall.com

DetectX Swift, scansione antiadware/antimalware con eliminazione di piccoli problemi e analisi di sistema
https://sqwarq.com/detectx/

Se decidi di installarle è meglio:
– F Secure X-Fence e BlockBlock con estensione dell’accettazione delle regole e avvisi anche agli aggiornamenti
– Non scegliere File Spy come apertura di documenti di un certo tipo oltre la prima volta
– Indicare a Murus Lite la protezione standard a livello 3, senza richiedere altre istruzioni

Altrimenti diventano un po’ noiose da utilizzare e vai molto al di là della sicurezza che effettivamente serve.
E non sono strettamente necessarie, sono solo un aiuto aggiuntivo.
Direi però obbligatorie in caso di spericolatezza nelle impostazioni del sistema.
Per esempio se installi software non da AppStore, cambi alcuni defaults, usi SIMBL e disabiliti il SIP.

faxus

Lascia un commento