Durante casi dos años, el troyano Shlayer ha sido la amenaza más extendida en la plataforma macOS: en 2019, uno de cada diez usuarios de nuestras soluciones de seguridad para Mac se topó con este malware al menos una vez, y en relación con todas las detecciones de malware realizadas en este sistema operativo, su cuota es de casi el 30%.
Los primeros ejemplares de esta familia cayeron en nuestras manos en febrero de 2018, y hasta ahora, hemos recopilado casi 32 mil muestras maliciosas diferentes del troyano. También hemos identificado 143 dominios de servidores de administración.
Desde el descubrimiento de Shlayer, su algoritmo de funcionamiento casi no ha cambiado y su actividad no ha disminuido mucho: en este momento, el número de detecciones se mantiene al mismo nivel que los primeros meses tras su descubrimiento.
A pesar de su “popularidad”, desde el punto de vista técnico Shlayer resulta ser un ejemplar bastante común de malware. Entre todas las modificaciones del troyano, se distingue una de las últimas: Trojan-Downloader.OSX.Shlayer.e.
Esta opción, a diferencia de sus congéneres, está escrita en el lenguaje de programación Python, y no en Bash, y su algoritmo de operación es algo diferente del resto.
Después de montar esta imagen DMG, le solicita al usuario que ejecute el supuesto archivo de instalación. Sin embargo, el instalador -en apariencia normal- resulta ser un script en Python, y esto es ya una forma atípica de instalar software para macOS.
En el directorio con archivos ejecutables incorporado en el paquete de la aplicación hay dos scripts Python: gjpWvvuu847DzQPyBI, el principal y goQWAJdbnuv6, el auxiliar. Este último implementa funciones de cifrado de datos utilizando un desplazamiento de bytes en la clave key:
- El par de funciones encryptText y decryptText se encargan de cifrar y descifrar las cadenas;
- encryptList cifra el contenido de la lista proporcionada en los argumentos y decryptList realiza la operación inversa.
- La función getKey (), como su nombre permite adivinar, genera una clave de cifrado basada en el tiempo en el sistema operativo.
Shlayer solo lleva a cabo la etapa inicial del ataque: penetra en el sistema, descarga la carga útil principal y la ejecuta. Para ver las consecuencias negativas para el usuario, analicemos la familia AdWare.OSX.Cimpli, que el troyano descargaba activamente en el momento de la redacción de este artículo.
A primera vista, el instalador de Cimpli no genera sospechas, ya que solo ofrece instalar una aplicación asociada (por ejemplo, Any Search):
Pero en realidad, Cimpli también realiza varias acciones ocultas para el usuario. En primer lugar, instala una extensión maliciosa en Safari, bloqueando la ventana de malware con una notificación de seguridad falsa del sistema operativo, para hacerla invisible. Al hacer clic en los botones de la notificación, el usuario acepta la instalación de la extensión.
Este script desvía todas las consultas de búsqueda de los usuarios, que en vez de llegar a los motores de búsqueda, terminan en hxxp: //lkysearchds3822-a.akamaihd [.] Net. Las soluciones de Kaspersky Lab detectan este script como not-a-virus:AdWare.Python.CimpliAds.a.
De esta forma, el adware de la familia Cimpli se afianza completamente en el sistema: si el tráfico no pasa por el servidor proxy, el código de extensión JS incrustado en la página se encarga de desviar las solicitudes. El atacante obtiene acceso a las consultas de búsqueda del usuario y puede modificar los resultados de los motores de búsqueda para mostrar ofertas publicitarias. Al final, el usuario recibe mucha publicidad no deseada.
Cabe señalar que Cimpli no es la única familia de aplicaciones publicitarias que Shlayer puede descargar. Esta lista también incluye AdWare.OSX.Bnodlero, AdWare.OSX.Geonei y AdWare.OSX.Pirrit, que ocupan casi todas las posiciones restantes del TOP 10 de amenazas para macOS en 2019.
