s0402-osxshlayer - RunkIntel

# OSX/Shlayer > Tipo: **malware** · S0402 · [MITRE ATT&CK](https://attack.mitre.org/software/S0402) ## Descrição [[s0402-osxshlayer|OSX/Shlayer]] é um Trojan projetado para instalar adware em macOS, descoberto pela primeira vez em 2018. Tornou-se uma das ameaças para macOS mais prevalentes, sendo distribuído principalmente via sites de pirataria, resultados de busca envenenados (SEO poisoning) e anúncios maliciosos que instruem o usuário a instalar uma suposta atualização do Flash Player. O Shlayer é notável por suas técnicas avançadas de bypass de controles de segurança do macOS: utiliza resource forking para ocultar payload, bypassa o Gatekeeper via técnicas de manipulação de permissões, solicita elevação de privilégio ao usuário via prompt falso e ignora sinais de interrupção de processo para dificultar a remoção. Os binários são ofuscados e o malware se mascara como software legítimo. Após a infecção, o Shlayer instala adware e extensões de navegador não-autorizadas, modificando configurações de busca e injetando anúncios. É frequentemente usado como loader para instalar outras ameaças mais graves. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1564-hide-artifacts|T1564 - Hide Artifacts]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1176-001-browser-extensions|T1176.001 - Browser Extensions]] - [[t1553-001-gatekeeper-bypass|T1553.001 - Gatekeeper Bypass]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1564-011-ignore-process-interrupts|T1564.011 - Ignore Process Interrupts]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1564-009-resource-forking|T1564.009 - Resource Forking]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1548-004-elevated-execution-with-prompt|T1548.004 - Elevated Execution with Prompt]] ## Detecção - Monitorar processos bash/sh executados a partir de scripts em diretórios de download ([[t1059-004-unix-shell|T1059.004]]) - Detectar bypass do Gatekeeper via manipulação de atributos de quarentena ([[t1553-001-gatekeeper-bypass|T1553.001]]) - Alertar para instalação de extensões de navegador sem consentimento explícito do usuário ([[t1176-001-browser-extensions|T1176.001]]) - Usar XProtect/MRT atualizado e soluções EDR para macOS ## Relevância LATAM/Brasil O OSX/Shlayer é altamente relevante para usuários de Mac no Brasil, onde o uso de conteúdo pirata é significativo. Sites de pirataria e links de downloads de software comercial gratuito são vetores primários de distribuição do Shlayer. A crescente adoção de MacBooks por profissionais de tecnologia e empresas brasileiras expande a superfície de ataque para esta família de malware que consistentemente evade os controles padrão do macOS. ## Referências - [MITRE ATT&CK - S0402](https://attack.mitre.org/software/S0402)