自Shlayer出现以来，已经过去了近两年。Shlayer是一款Mac恶意软件，通过欺骗目标安装假冒的Adobe Flash更新来安装它。它通常是在承诺提供盗版视频后才这么做的，这些视频也是假的。这种诱惑可能是老生常谈，很容易被发现，但Shlayer仍然是常见的——如此之多，以至于它是卡巴斯基实验室(Kaspersky Labs)的macOS杀毒程序用户遇到的头号威胁。

 

自2018年2月Shlayer首次被发现以来，沐鸣开户测速卡巴斯基实验室的研究人员收集了近3.2万个不同的变体，并确定了143个不同的域操作人员用来控制受感染的机器。在卡巴斯基实验室(Kaspersky Lab)的Mac AV产品产生的所有恶意检测中，这种恶意软件占了30%。针对美国用户的攻击最为常见，占卡巴斯基实验室所见攻击的31%。德国(14%)、法国和英国(均为10%)紧随其后。对于使用这种粗糙和过时的感染方法的恶意软件，Shlayer仍然惊人地多产。

 

卡巴斯基实验室(Kaspersky Lab)周四发表的一份分析报告称，Shlayer是“一个相当普通的恶意软件”，除了最近基于Python脚本的一个变体之外，它是基于Bash命令构建的。实际上，所有版本的工作流程都是类似的:它们收集id和系统版本，并根据这些信息下载和执行文件。然后删除下载，以删除感染的痕迹。Shlayer还结合了选项-f0L来使用curl，周四的帖子说“f0l基本上是整个家庭的名片”。

 

关于Shlayer的另一个平庸的细节是前面提到的受感染的方法。它被植入商业软件盗版、电视节目或体育赛事直播的链接中。一旦用户点击，他们就会收到一个通知，要求他们安装Flash更新。尽管Flash多年来一直被有效地弃用，而且提供盗版和盗版内容的平台是滋生恶意软件的温床。

 

第二节和第一节一样

 

下载文件的Python变种卡巴斯基实验室分析安装广告软件称为Cimpli。它表面上提供安装应用程序，如任何搜索，搜索结果表明，沐鸣开户测速这显然是一个谁都不应该想要的程序。在后台，它安装了一个恶意的Safari扩展和一个工具，其中包括一个自签名的TLS证书，允许扩展查看加密的HTTPS流量。

 

为了消除用户的疑虑，Cimpli将自己的窗口叠加在macOS提供的对话框上。下图中左边的窗口是目标用户在Cimpli安装Safari扩展时看到的窗口。右边的窗户被遮住了。通过单击按钮，用户无意中同意安装扩展。HTTPS解密工具还在安装确认框上叠加了一个假窗口。安装之后，所有用户流量都被重定向到攻击者控制的代理服务器。

 

卡巴斯基实验室

 

传统上，Shlayer一直依赖付费的附属公司为显示虚假Flash更新的登陆页面植入广告。卡巴斯基实验室(Kaspersky Lab)表示，Shlayer提供的服务价格最高。一个更新的策略是在维基百科和YouTube的页面中嵌入恶意链接。卡巴斯基实验室表示，一家关联公司注册了700多个过期域名。

 

很难相信如此简单的恶意软件会成为Mac用户面临的最常见威胁之一。一种解释可能是，沐鸣开户测速Shlayer操作人员必须一遍又一遍地用蛮力攻击Mac用户，以弥补极低的成功率。还有一种可能性更令人沮丧，但可能性可能更小:成功率足够高，操作员会不断地回来要求更高的成功率。在这两种情况下，很可能是子公司的帮助有助于Shlayer的排名。

 

无论如何，Shlayer的排名是一个很好的理由，让人们记住Flash是一个过时的浏览器插件，对于世界上绝大多数人来说，它带来的风险大于收益。对于那些必须使用它的人，他们应该只从 https://get.adobe.com/flashplayer/.

 

当人们试图观看视频或安装软件时，他们不应该收到来自窗口的更新。对于缺乏经验的用户来说，这种区别可能很难区分，因为Flash本身就会在更新可用时发出通知，或者至少用于发出通知。人们也应该避开提供盗版材料的网站。