Οι δημιουργοί κακόβουλου λογισμικού των Mac εφαρμογών Shlayer , κατάφεραν να αποκτήσουν πρόσβαση μέσω payloads στην Apple.
Από τον Φεβρουάριο του 2020, όλο το Mac λογισμικό που διανέμεται εκτός του Mac App Store πρέπει να είναι υπογεγραμμένο από την Apple για να μπορεί να εκτελείται σε MacOS Catalina ή κάποια νεότερη έκδοση.
Η διαδικασία υπογραφής απαιτεί από τους προγραμματιστές να υποβάλουν το λογισμικό που δημιούργησαν για την πλατφόρμα του macOS για σάρωση μέσω της υπηρεσίας της Apple, ένα αυτοματοποιημένο σύστημα που έχει σχεδιαστεί για τη σάρωση του λογισμικού τόσο για κακόβουλα στοιχεία όσο και για ζητήματα υπογραφής κώδικα.
Εάν περάσουν αυτόν τον αυτοματοποιημένο έλεγχο ασφαλείας, οι εφαρμογές γίνονται αποδεκτές από το macOS Gatekeeper, μια δυνατότητα ασφαλείας του macOS που ελέγχει εάν οι ληφθείσες εφαρμογές έχουν ελεγχθεί για κακόβουλο περιεχόμενο, με σκοπό την εκτέλεσή τους στο σύστημα.
Σύμφωνα με την Apple, εάν υπάρξει ποτέ κάποιο πρόβλημα με μια εφαρμογή, η εταιρεία σταματάει άμεσα τις νέες εγκαταστάσεις και επιπλέον είναι σε θέση να εμποδίσει την εκκίνηση της εφαρμογής.
Η διαδικασία υπογραφής της Apple απέτυχε<
Αν και η εταιρεία λέει ότι το λογισμικό που έχει υπογραφεί για το macOS έχει σχεδιαστεί για να δίνει στους χρήστες περισσότερη ασφάλεια, όπως ανακαλύφθηκε από τον Peter Dantini την περασμένη εβδομάδα, η Apple εξαπατήθηκε από το κακόβουλο λογισμικό Shlayer.
Ανακάλυψε ότι το adware Shlayer διανέμεται μέσω μιας ψεύτικης και κακόβουλης σελίδας και θα μπορούσε να εκτελεστεί σε οποιοδήποτε Mac συσκευή που τρέχει macOS Catalina χωρίς να μπλοκαριστεί αυτόματα.
Αυτός είναι και ο λόγος που κατάφερε το adware να φορτώσει το payload στα θύματά του.
https://twitter.com/PokeCaptain/status/1300440938301607939
Αφού ο Wardle ανέφερε τα δείγματα του κακόβουλου λογισμικού στην Apple, η εταιρεία αντέδρασε αμέσως και ανακάλεσε τα πιστοποιητικά (που σημαίνει ότι θα σταματούν αυτόματα από το Gatekeeper) την ίδια ημέρα, στις 28 Αυγούστου.
Παρόλο που ορισμένοι χρήστες Mac πιστεύουν ότι το κακόβουλο λογισμικό στοχεύει μόνο τα Windows και ότι οι Mac συσκευές είναι ασφαλείς, το Shlayer επιτίθεται στο 10% όλων των Mac συσκευών, σύμφωνα με μια έκθεση της Kaspersky που κυκλοφόρησε τον Ιανουάριο του 2020.
Το Shlayer εντοπίστηκε για πρώτη φορά από την ερευνητική ομάδα της Intego, και διανεμήθηκε τον Φεβρουάριο του 2018, μεταμφιεσμένο σαν ψεύτικο πρόγραμμα εγκατάστασης του Adobe Flash Player όπως και πολλές άλλες καμπάνιες κακόβουλων προγραμμάτων που στοχεύουν την πλατφόρμα του macOS.