Ny Mac malware udvikles rettet mod en nylig opdaget MacOS Gatekeeper sikkerhedshul. Den malware pågældende er kendt som OSX / Linker, og det er blevet analyseret af Intego sikkerhed forsker Joshua Lang.
OSX / Linker Malware: hvad vi ved indtil videre
De nye malware Udnytter [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] en kendt Gatekeeper sårbarhed der blev beskrevet i maj af Filippo Cavallarin. Fejlen kunne give en ondsindet binær downloades fra internettet til at omgå Gatekeeper 's scanningen. "På MacOS X version <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”Forskeren skrev i kan efter sin opdagelse.
Det er bemærkelsesværdigt, at det er i Gatekeeper design til at acceptere både eksterne drev og netværk aktier som sikkert sted, tillader apps, de indeholder for at køre fejlfrit. Men, ved at sammensætte to legitime funktioner af MacOS, er det muligt at bedrage Gatekeeper og dens ”tilsigtet adfærd”.
Hvordan ville et angreb baseret på sårbarheden arbejde? En hacker kunne udforme en zip-fil med en symbolsk link til en automount hacker-kontrolleret endepunkt (ex Dokumenter -> /net/evil.com/Documents) og kunne sende den til et målrettet system. Brugeren vil downloade ondsindet arkiv, og ville udtrække skadelig fil uden at ane noget.
Dette indebar at lægge et symlink i en arkivfil og knytte den tilbage til en ondsindet Network File System-server. Forskeren opdagede, at Gatekeeper ikke ville scanne disse specifikke filer, giver brugerne mulighed for at udføre de symbolske link. I tilfælde af ondsindede symlinks, angriberne kunne køre skadelig kode på sårbare systemer.
I begyndelsen af juni, Intego er malware forskergruppe opdaget det første kendte (fra)brug af Cavallarin sårbarhed, som synes at have været anvendt som en test som forberedelse til fordeling malware.
Selvom Cavallarin sårbarhed afsløring angiver en .zip komprimeret arkiv, de analyserede af Intego prøver var faktisk disk billedfiler. Det lader til, at malware beslutningstagere eksperimenterede at se, om Cavallarin sårbarhed ville arbejde med disk images, for.
Den vagtselskab observerede fire prøver, der blev uploadet til VirusTotal juni 6, tilsyneladende inden for timer af oprettelsen af hver disk image. Alle af dem er knyttet til en bestemt applikation på en internet-tilgængelige NFS-server.
Hidtil, forskerne’ teori er, at malware maker var “blot gennemføre nogle afsløring test rekognoscering“. Ikke desto mindre, dette er en anden påmindelse om, at malware udviklere er aktivt at eksperimentere med nye metoder til at omgå Apples indbyggede beskyttelsesmekanismer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: