Эксперты по безопасности выявили сразу два новых вредоноса, так или иначе атакующих или эксплуатирующих антивирусные программы на разных платформах.

В частности, новый вариант многоступенчатой программы Shlayer атакующей macOS, научился отключать защитную систему Gatekeeper, чтобы запускать неподписанный код. Второй вредонос — это PC-троянец Astaroth, который способен использовать процессы антивируса Avast и продукты бразильской компании GASTecnologia для кражи данных и установки новых вредоносных модулей.

Первый вариант Shlayer был выявлен еще год назад. Как и многие другие вредоносы под macOS, он выдавал себя за обновления AdobeFlash. То же самое делает и новая версия, с той лишь разницей, что если первый вариант распространялся через торренты, то новый — через взломанные домены или клоны легитимных сайтов, выводящих пользователям всплывающие окна с предложением скачать обновление. Также были отмечены случаи, когда ссылки на Shlayer попадались в рекламе, размещенной на легитимных сайтах.

Shlayer атакует все версии macOS, включая последнюю — 10.14.3 Mojave. На компьютеры жертв он попадает в виде файла .DMG, .PKG, .ISO или .ZIP, часть из которых снабжена подписью разработчика Apple, чтобы придать им большую легитимность.

Новая версия Shlayer также использует вредоносные shell-скрипты для скачивания дополнительных компонентов.