“ggy带式恶意软件欺骗Mac安全机制”

mac恶意软件shlayer依赖于新的方法来避免macos的安全机制。 长期以来，shlayer一直大量出现在横幅广告中，通常由苹果开发者证书签名。 这是因为该客户在运行时不显示警告。 这个恶意软件通常伪装成flash updater，必须由客户自己安装。

tarmac绕过了苹果网关守护和xprotect

根据安全公司confiant的解体，shlayer的另一种变体是通过脚本安装后加载的新osx / tarmac，被称为恶意软件。 tarmac是从命令行程序curl下载的。 这是因为mac没有隔离属性。 因此，如安全研究者所述，如果未内置macos保护机制gatekeeper和xprotect，则有害生物也可以不签名运行。 这至少适用于macos mojave 10.14.6版。

分解显示，tarmac首先使用标准身份验证对话框访问客户密码，并尝试获取扩展权限。 confiant写道，这个恶意软件由熟悉macos的开发者编写，同时伪装了其操作。 虽然安全研究人员无法利用command control服务深入了解加密的互联网流量，但显然tarmac可以重新加载其他代码。

mac malware shlayer已经存在了一段时间

shlayer发布已经快两年了，同时在不断变化的新版本中被发现。 早期的害虫标本试图完全关闭苹果的gatekeeper。 到目前为止，shlayer似乎主要用于在受害者的mac上安装广告软件。 通过集成到横幅广告中，用户也可以在访问普通网站时突然下载木马。 客户请勿安装在任何情况下提供的软件。

本文：《“ggy带式恶意软件欺骗Mac安全机制”》