Чёрная пятница августа: Apple проворонила зловред OSX.Shlayer

Этот маленький детектив стартовал в прошлую пятницу, когда разработчик Питер Дантини зафиксировал на сайте homebrew.sh неожиданную вспышку активности — попытки зайти на него приводили к активным попыткам сайт впарить визитёру «апдейт для Adobe Flash Player».

Казалось, повода для беспокойства попросту нет — как правило, закамуфлированное под Flash Player рекламное ПО блокируется в процессе нотаризации: встроенный в macOS антивирус Gatekeeper проверяет пытающуюся запуститься программу на вредоносный код и по факту его обнаружения присваивает приложению статус неподтверждённого, намертво блокируя его запуск. Чего с пятничной находкой не произошло — из-за присвоенного ей статуса «проверка успешно пройдена»!

Как это могло произойти? Исследователи выделили три этапа: (1) нехороший файл отправили на утверждение Apple, (2) Apple крамолы в файле не обнаружила (почему? скорее всего имела место банальная ошибка) и подтвердила его нотаризацию, после чего (3) упомянутый файл стал беспроблемно запускаться в macOS последних версий, включая тестовые сборки Big Sur.

Как показало дальнейшее расследование, упрятанный в поддельный Flash Player вредоносный код определённо принадлежит к семейству OSX.Shlayer — по мнению Касперского, самого распространённого зловреда под macOS. Надо отдать должное, в Купертино сработали оперативно и в ту же пятницу перекрыли «Шлейеру» кислород:

Увы, недолго музыка играла: всего пару суток спустя в воскресенье выяснилось, что активность на homebrew.sh спадать не собирается, а новая версия ненастоящего «Adobe Flash Player» по-прежнему нотаризована! Причём по косвенным признакам явствует, что произошло это уже после принятых Apple мер безопасности. В общем, «в бесконечном противостоянии зловредов и Apple выигрывают на данный момент времени первые».