Det kanske vanligaste sättet som skadeprogram i form av trojaner sprids på Mac är förklädda som uppdateringar av Adobe Flash (en mjukvara du i dag aldrig bör ha på datorn och som Adobe snart ska lägga ner helt och hållet).

Säkerhetsforskare på Intego har upptäckt en ny trojan som återanvänder kodbitar från olika äldre varianter och sprids på just detta sätt. De hittade den via vanliga Google-sökningar. Men den nya varianten, som av Intego klassas som en ny unik variant av trojanen OSX/Shlayer, har ett ”nyskapande” knep för att lura offret att installera programmet.

Om du dubbelklickar på ett osignerat program i Mac OS Catalina får du bara upp ett felmeddelande och kan inte gå vidare. För att tvinga ett sådant program att starta måste du ctrl/höger-klicka på det och välja Öppna från kontextmenyn.

Den nya trojanen försöker kringgå detta genom att helt enkelt uppmana den som laddat ner och öppnat dmg-filen att göra just detta.

”Installationsprogrammet” som då körs är i själva verket ett bash-skript som packar upp en krypterad zipfil med ett vanligt Macprogram som på det här sättet kan runda Mac OS Gatekeeper-funktion och köra igång utan varning. Programmet körs automatiskt igång och laddar ner en äkta version av Adobe Flash så att resultatet ser ut som att du inte alls drabbades av något skadeprogram.

I bakgrunden kör trojanen dock vidare och kan installera vilken annan skadlig kod som helst som utvecklarna har placerat på styrservern programmet kontaktar.