Apple по ошибке подписала для запуска на Mac зловред
ИБ-эксперт Патрик Уордл (Patrick Wardle) опубликовал на ресурсе Objective-See исследование о том, что современные защитные механизмы (процедура нотаризации и утилита Gatekeeper) в macOS Catalina могут ошибаться и пропускать троян Shlayer.
Зловред Shlayer может перехватывать поисковые запросы пользователя, показывать нежелательную рекламу, устанавливать дополнительные расширения в браузере Safari и запускать скрытые приложения. На конец августа 2020 года вредоносный код одной из версий Shlayer был замаскирован под установщик Adobe Flash и не определялся даже в бета-версии macOS Big Sur как вредоносная программа.
Уордл сообщил в Apple о своей находке. Компания отметила этот установщик как запрещенную программу и удалила аккаунт разработчика, который ее разместил. Но этого оказалось недостаточно.
Через некоторое время на портале Homebrew (brew.sh) появились другие версии установщиков Adobe Flash, которые также содержат троян Shlayer и их сейчас пропускает механизм нотаризации macOS. Причем старый и новый пейлоады почти идентичны, внутри них находится код OSX/Shlayer, после его установки также активируется рекламное вредоносное ПО Bundlore.
Shlayer уже более двух лет является угрозой для пользователей на macOS, причем его активность со временем остается на одном уровне. Первые экземпляры зловреда были зафиксированы в феврале 2018 года. Код трояна написан на языке программирования Python.