Pour en savoir plus sur le malware Shlayer

https://www.kaspersky.fr/about/press-releases/2020_shlayer-le-malware-le-plus-repandu-sur-macos

https://www.crowdstrike.com/blog/shlayer-malvertising-campaigns-still-using-flash-update-disguise/

https://www.bleepingcomputer.com/news/security/apple-fixes-macos-zero-day-bug-exploited-by-shlayer-malware/

https://attack.mitre.org/software/S0402/

Les éléments suivants peuvent permettre d’identifier la présence de Shlayer :

Liens de téléchargement de Shlayer :

hxxp://80.82.77.84/.dmg

hxxp://sci-hub[.]tv

hxxp://kodak-world[.]com

URL utilisée comme serveur de contrôle de type C&C:

hxxp://api.typicalarchive[.]com

hxxp://api.entrycache[.]com

hxxp://api.macsmoments[.]com

En cas de présence de Shlayer, il est recommandé d’identifier la date d’infection et de procéder à un nettoyage complet et/ou a une réinstallation de la machine. Il faut aussi considérer que toutes les informations mémorisées sur la machine peuvent avoir été compromises, et en particulier les mots-de-passe et cartes bancaires.

Pour en savoir plus :

https://github.com/stamparm/maltrail/blob/master/trails/static/malware/osx_shlayer.txt

https://www.sentinelone.com/blog/coming-out-of-your-shell-from-shlayer-to-zshlayer/

Des connections vers les IP suivantes peuvent permettre d’identifier la présence de Shlayer :

129.153.49.67:7001

129.153.53.180:7001

155.248.217.76:7001

159.203.48.195:7001

159.203.49.5:7001

159.203.50.188:7001

174.138.115.38:7001

174.138.115.8:7001

174.138.115.9:7001

192.18.144.233:7001

192.18.149.161:7001

192.18.150.139:7001