shlayer - RunkIntel

# OSX/Shlayer > Tipo: **trojan dropper macOS** - S0402 - ameaça macOS mais prevalente 2019-2022 - bypass Gatekeeper Apple > [!high] Trojan macOS Mais Prevalente por 3 Anos - Bypass Gatekeeper e Notarizacao Apple > **OSX/Shlayer** é o trojan dropper mais prevalente do macOS, ativo desde fevereiro de 2018 e rastreado pelo MITRE como **S0402**. A Kaspersky reportou que em 2019 era detectado em **1 de cada 10 Macs** analisados. Se disfarça de atualizacoes falsas do Adobe Flash Player e players de video para entregar adware e outros payloads. Em um caso notório de 2020, amostras do Shlayer foram **notarizadas acidentalmente pela própria Apple**. Em 2021, explorou CVE-2021-30657 para bypass do Gatekeeper. ## Visão Geral [[shlayer|OSX/Shlayer]] é o trojan dropper mais amplamente documentado para o sistema operacional macOS, identificado pela primeira vez em fevereiro de 2018 e rastreado pelo MITRE ATT&CK como **S0402**. Ao contrário da percepcao popular de que Macs sao imunes a malware, o Shlayer demonstrou que o macOS tem um ecossistema de ameaças ativo - especialmente quando usuarios sao enganados a contornar as próprias protecoes do sistema operacional. O Shlayer é principalmente um **dropper de adware**: seu objetivo final é instalar adware agressivo como AdLoad, Pirrit e outros em sistemas macOS. Embora adware possa parecer uma ameaça menor que ransomware, o impacto pode ser significativo: redirecionamento de buscas, injecao de anúncios em sites legítimos, coleta de dados de navegacao e instalacao de extensoes maliciosas de browser ([[t1176-001-browser-extensions|T1176.001]]) que persistem após a remoção aparente do trojan principal. O vetor de distribuição primário é sites de streaming de vídeo e conteúdo pirata que exibem mensagens pedindo ao usuario para atualizar o Flash Player ou instalar um codec de vídeo. Quando o usuario aceita, baixa um arquivo `.dmg` que contém o instalador malicioso. O Shlayer usa técnicas sofisticadas de engenharia social para convencer o usuario a contornar as protecoes do macOS: pede para o usuario clicar com botao direito e selecionar "Abrir" em vez de dar duplo clique, bypassando o Gatekeeper via aprovacao explícita do usuario ([[t1553-001-gatekeeper-bypass|T1553.001]]). Em 2020, a Apple acidentalmente notarizou amostras do Shlayer - o processo de notarizacao, que deveria verificar software malicioso antes de permitir execução no macOS, falhou em detectar o malware. Em 2021, o Shlayer explorou **CVE-2021-30657**, uma vulnerabilidade zero-day no Gatekeeper do macOS que permitia a execução de qualquer app nao assinada sem aprovacao do usuario. **Plataformas:** macOS ## Como Funciona 1. **Engano via sites de streaming:** Usuario visita site de streaming ou conteúdo pirata que exibe prompt falso pedindo atualização do Flash Player ou codec ([[t1204-002-malicious-file|T1204.002]]). 2. **Download do DMG malicioso:** O arquivo `.dmg` baixado contém um script de instalacao disfarçado ([[t1036-005-match-legitimate-name-or-location|T1036.005]]). 3. **Bypass do Gatekeeper:** O instalador instrui o usuario a clicar com botao direito e "Abrir", ou em variantes mais recentes explora CVE-2021-30657 para bypass automático ([[t1553-001-gatekeeper-bypass|T1553.001]]). 4. **Execução privilegiada:** Solicita senha de administrador via prompt legítimo do macOS ([[t1548-004-elevated-execution-with-prompt|T1548.004]]) para instalar componentes do sistema. 5. **Payload e persistência:** Baixa e instala adware ([[t1105-ingress-tool-transfer|T1105]]), modifica permissoes ([[t1222-002-file-and-directory-permissions-modification|T1222.002]]), oculta arquivos ([[t1564-001-hidden-files-and-directories|T1564.001]]) e instala extensoes de browser ([[t1176-001-browser-extensions|T1176.001]]). ```mermaid graph TB A["Site Streaming Pirata Prompt Flash Player falso T1204.002 - Engano usuario"] --> B["Download DMG Malicioso Instalador disfarçado T1036.005 - Nome legítimo"] B --> C["Bypass Gatekeeper Clique direito ou CVE-2021-30657 T1553.001 - Aprovacao contornada"] C --> D["Senha Admin macOS Prompt legítimo enganado T1548.004 - Elevação com prompt"] D --> E["Download Adware AdLoad ou Pirrit instalados T1105 - Payload final"] E --> F["Persistência e Evasão Arquivos ocultos + permissoes T1564.001 + T1222.002"] classDef social fill:#c0392b,color:#fff classDef download fill:#e67e22,color:#fff classDef bypass fill:#8e44ad,color:#fff classDef priv fill:#d35400,color:#fff classDef payload fill:#2980b9,color:#fff classDef persist fill:#2c3e50,color:#fff class A social class B download class C bypass class D priv class E payload class F persist ``` ## Timeline ```mermaid timeline title OSX/Shlayer - Evolução e Incidentes Fev 2018 : Shlayer identificado pela primeira vez : Disfarce de Flash Player atualizado 2019 : Kaspersky reporta 1 em 10 Macs afetados : MITRE registra como S0402 2020 : Apple notariza acidentalmente amostras Shlayer : Falha no processo de notarizacao da Apple Mar 2021 : CVE-2021-30657 explorado pelo Shlayer : Zero-day Gatekeeper bypass sem aprovacao 2021 : Apple corrige CVE-2021-30657 : Shlayer adapta para novos vetores 2022 : Declínio com fim do Flash Player : Variantes continuam com outros pretextos ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1204-002-malicious-file\|T1204.002]] | Instalador falso executado pelo usuario | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix para scripts de instalacao | | Defense Evasion | [[t1036-005-match-legitimate-name-or-location\|T1036.005]] | Nomes legítimos para disfarcar malware | | Defense Evasion | [[t1553-001-gatekeeper-bypass\|T1553.001]] | Bypass do Gatekeeper macOS | | Defense Evasion | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deofuscacao de payload em tempo de execução | | Defense Evasion | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Arquivos ocultos para persistência | | Privilege Escalation | [[t1548-004-elevated-execution-with-prompt\|T1548.004]] | Senha admin via prompt macOS legítimo | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Mapeamento de estrutura de arquivos | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema macOS | | Collection | [[t1176-001-browser-extensions\|T1176.001]] | Extensoes maliciosas de browser | | Persistence | [[t1222-002-file-and-directory-permissions-modification\|T1222.002]] | Modificacao de permissoes para persistência | | Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download do adware final | ## Relevância LATAM/Brasil O [[shlayer|OSX/Shlayer]] é relevante para o Brasil pelo crescimento do mercado de Macs no país. A **penetracao de MacBooks em empresas de tecnologia, startups, agencias de publicidade e escritórios criativos** no Brasil cresceu significativamente nos últimos anos - especialmente em Sao Paulo e Rio de Janeiro, onde o ecossistema de startups é robusto. O vetor de distribuição do Shlayer - sites de streaming de conteúdo pirata - é particularmente relevante no Brasil, onde a pirataria digital tem alta prevalencia. Sites como o que eram análogos ao Megaupload ou sites de streaming pirata de futebol (transmissoes ao vivo de jogos) exibem exatamente o tipo de prompt "atualize seu Flash Player" que o Shlayer usa. Usuarios brasileiros que assistem a conteúdo piratado em Macs sao o perfil exato da vítima. Para empresas brasileiras que adotaram Macs como estacoes de trabalho principais (prática comum em agencias criativas e startups de tecnologia), o Shlayer representa um risco real de comprometimento de credenciais corporativas e dados sensíveis via adware de coleta de dados. **Setores impactados:** [[technology|tecnologia]] - startups - publicidade - educação - media e entretenimento ## Detecao - Monitorar instalacao de extensoes de browser Safari, Chrome e Firefox por processos fora da App Store - Alertar para DMGs executados após download de fontes nao verificadas com scripts de pós-instalacao - Detectar modificacoes em Launch Agents/Daemons em `~/Library/LaunchAgents/` por processos de usuario - Implementar bloqueio de downloads de DMG de dominios de streaming pirata conhecidos via DNS filtering - Verificar regularmente extensoes de browser instaladas em Macs corporativos - Manter macOS e Gatekeeper atualizados - CVE-2021-30657 foi corrigido na versao 11.3 ## Referências - [1](https://attack.mitre.org/software/S0402/) MITRE ATT&CK - S0402 OSX/Shlayer (2023) - [2](https://securelist.com/shlayer-for-macos/95724/) Kaspersky Securelist - Shlayer macOS Most Prevalent 2019 (2019) - [3](https://www.objective-see.org/blog/blog_0x4D.html) Objective-See - Shlayer Technical Analysis Patrick Wardle (2019) - [4](https://www.bleepingcomputer.com/news/security/apple-accidentally-notarized-shlayer-malware-to-run-on-macos/) BleepingComputer - Apple Notarizes Shlayer Malware (2020) - [5](https://threatpost.com/apple-zero-day-gatekeeper-shlayer/165946/) ThreatPost - CVE-2021-30657 Gatekeeper Bypass Shlayer (2021) - [6](https://www.checkpoint.com/press/2021/check-point-research-uncovers-new-technique-used-by-shlayer-malware-to-bypass-apple-security/) Check Point - Shlayer Gatekeeper Bypass Technique (2021)