Hjem > Cyber ​​Nyheder > macOS Exploit Installerer Malware eksternt via brugerdefinerede URL-handlere i Safari
CYBER NEWS

MacOS Exploit Installerer Malware Fjernt via brugerdefinerede URL Handlers i Safari

En helt ny MacOS udnytte er blevet afsløret af forskere. Den udnytter ville tillade fjerninstallation af malware på den målrettede systemet ved hjælp af brugerdefinerede URL handlere i Safari. Forskerne viste sig angrebet i en demo. Det skal bemærkes, at dette angreb denne særlige angreb, selvom fjernbetjening, kræver en vis brugerinteraktion, og det har vist sig gode mod tech-kyndige brugere, forskerne advaret.

I deres rapport, de sikkerhedseksperter drøfte ”en fjern angreb, malware er blevet udnytte som et middel til at opnå indledende adgang til fuldt lappet MacOS systemer”. Når denne første-trins angreb kombineres med fejl i MacOS, der tillader skadelig kode til at udføre alle de forskellige ondsindede aktiviteter, kunne skabe ”en elegant, endnu beskadige angreb mod MacOS”. Have sagt, at, Det bør ikke være overraskende, at dette angreb er blevet beskrevet som ”en offensiv cyber-spionage kampagne inficerer macs med en hidtil ukendt infektion mekanisme".

WINDSHIFT APT MacOS Exploit: Novel og Sofistikeret

Forskere mener, at truslen aktører bag dette angreb er den såkaldte WINDSHIFT APT.

Først og fremmest, dette er en noget uklar cyberspionage skuespiller, der har været rettet mod personer, der arbejder på et ukendt regering. Det fremgår, at denne obskure trussel skuespiller driver en sofistikeret phishing-infrastruktur, og er i stand til at udføre spear phishing-angreb via e-mail og SMS-beskeder. Dette gør det muligt for angreb til at spore sine mål kontinuerligt under rekognoscering fase, i mellemtiden bedrager sine mål i løbet af de legitimationsoplysninger høst faser gennem efterligning af globale og lokale platform udbydere, forskerne beskrevet.

Endvidere, der er flere ting, der adskiller WINDSHIFT APT fra andre lignende trussel grupper. WINDSHIFT APT modus operandi er meget svært at tilskrive. Gruppen sjældent engagerer mål med malware, selvom forskerne var i stand til at afdække de meget få målrettede angreb og til at analysere de særlige MacOS malware, der blev anvendt. Men hvad står mest er, at truslen skuespiller anvender entydige MacOS infektion tricks, misbruger systemets indfødte funktionaliteter til automatisk at sprede malware til mål.

Som nævnt i begyndelsen, denne gruppe eksternt installerer MacOS malware på målrettet system gennem ved hjælp af brugerdefinerede URL handlere i Safari.

Endvidere, angriberne bruge ”Ønsker du at tillade”popups, der har kendskab til MacOS brugere. Som forklaret af sikkerhed forsker Patrick Wardle, "disse dokumenter handlere ofte ses i brug, når du klikker på en App Store link eller PDF, der beder brugerne om tilladelse, før du åbner linket eller filen i et registreret app som Mac App Store eller Billedfremviser".

Forskerne fremhævede, at selvom brugerinteraktion er nødvendig det er snarere minimal og kan manipuleres af angriberen. Denne metode har vist sig gode, da det allerede lokket regeringens mål i Mellemøsten.

Hvordan er det muligt? Forskerne tilbudt en forklaring:

på MacOS, applikationer kan “annoncere” at de kan støtte (eller ’håndtere’) forskellige dokumenttyper og / eller brugerdefinerede URL systemer. Tænk på det, som en ansøgning ordsprog, “hey hvis en bruger forsøger at åbne et dokument af typen foo eller en url med et arrangement med bar jeg fik det!” Du har sikkert stødt på dette på MacOS. For eksempel, når du dobbeltklikke på en .pdf dokument Preview.app lanceres til at håndtere dokumentet. Eller i en browser du klikker på et link til et program, som bor i Mac App Store, App Store.app er lanceret for at behandle denne anmodning. Desværre måde Apple besluttet at gennemføre (specifikt, “Tilmeld”) dokument handlere og brugerdefinerede URL systemer, efterlader dem modne til misbrug!

Tilpasset URL handlere, og ligeledes dokumentere handlere, er dybest set en måde for et program til at underrette OS de er i stand til at håndtere visse dokumenttyper. For eksempel, VLC reklamerer evnen til at acceptere mange forskellige videoformater, mens Eksempel gør det samme for en bred vifte af forskellige filtyper.

Den kortere forklaring på dette MacOS udnytte ville være følgende:

Det allerførste skridt kræver malware at blive uploadet til en ondsindet websted. Når målet besøger denne hjemmeside (sandsynligvis gennem en Spearing phishing angreb), den skadelige .zip filen er hentet af MacOS, og derefter automatisk pakket ud. Her er det øjeblik, at bemærke, at Apple tillader filer, den ser som sikkert at pakkes ud, herunder malware tilfælde, hvis brugeren har downloadet det via Safari-browseren. Når filen er pakket ud, malwaren kan registrere sin tilpasset webadresse ordning handleren med filsystemet.

Kode i den ondsindede webside kan derefter indlæse brugerdefinerede URL, denne måde udløser MacOS at se op netop installeret URL handleren og starte ondsindet app. Den vanskelige del er, at udviklerne er i stand til at ændre ansøgningen tekst og gøre den vildledende. Hvad betyder det? I stedet for at sige ”Ønsker du at tillade Safari til at åbne programmet", det kunne sige noget lignende ”Ønsker du at tillade Safari til at åbne Eksempel?", forskerne forklarede.

Mens Safari gør bede brugeren om at annullere eller tillade driften til at køre, udviklere er i stand til at ændre ansøgningen tekst til noget designet til at være vildledende. I stedet for at sige “Ønsker du at tillade Safari til at åbne skræmmende malware program?” det kunne sige “Ønsker du at tillade Safari til at åbne Eksempel?” Endelig ville systemet forsøge at starte malware, der allerede vil være i ofrets downloads mappe.

Sådan forhindrer den WINDSHIFT APT MacOS Exploit

Der er én ganske enkel måde at forhindre dette udnytte, og det kræver at slå automatisk unzipping af sikre filer. For at gøre dette, følge disse trin:

Gå til Indstillinger, navigere til Safari> Generelt, og blot fjerne markeringen Open “sikker” filer efter download.

Det er sikkert at antage, at Apple kan have planer om at automatisk at forhindre filer fra unzipping som standard i sine kommende opdateringer.

I mellemtiden, hvis du mener, at din MacOS er inficeret med malware, du kan køre en check og fjerne opdaget malware stykke.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig