Eine brandneue macOS ausnutzen wurde von den Forschern aufgedeckt. Der Exploit würde mit Hilfe von benutzerdefinierten URL-Handler in Safari Remote-Installation von Malware auf dem Zielsystem ermöglichen. Die Forscher bewiesen, den Angriff in einem Demo. Es sollte dieser besondere Angriff, dass dieser Angriff bemerkt werden,, obwohl Fern, erfordert eine gewisse Interaktion mit dem Benutzer, und es hat sich gegen technisch versierte Anwender bewährt, die Forscher gewarnt.
in ihrer Bericht, die Sicherheitsexperten diskutieren „ein Remote-Angriff, dass Malware wird als Mittel wurde die Nutzung anfänglichen Zugriff zu erhalten, um vollständig gepatcht macOS Systeme“. Wenn dieser ersten Stufe Angriff mit Fehlern in macOS kombiniert wird, die bösartigen Code ermöglichen alle verschiedene bösartige Aktivitäten auszuführen, schaffen „könnte ein elegantes, noch zu beschädigen Angriff gegen macOS“. Having said that, es sollte nicht überraschen, dass dieser Angriff als „beschrieben wurde,eine offensive Cyber-Spionage-Kampagne infiziert macs mit einem neuartigen Infektionsmechanismus".
Winddreher APT macOS Exploit: Neuartige und Sophisticated
Die Forscher glauben, dass die Bedrohung Akteure hinter diesem Angriff sind die so genannten Winddreher APT.
Zunächst, Dies ist ein etwas obskurer Cyber-Spionage Schauspieler, Wer hat an einem unbekannten Regierung arbeitenden Personen wurden Targeting. Es scheint, dass diese obskuren Bedrohung Schauspieler eine ausgeklügelte Phishing-Infrastruktur betreibt, und in der Lage, Spear-Phishing-Angriffe per E-Mail und SMS-Nachrichten durchführen. Dies ermöglicht es den Angriff seine Ziele während der Aufklärungsphase kontinuierlich zu verfolgen, mittlerweile täuscht seine Ziele während der Anmeldeinformationen Phasen durch die Personifizierung der globalen und lokalen Plattformanbieter Ernte, die Forscher offenbart.
Weiter, es gibt mehrere Dinge, die Winddreher APT von anderen ähnlichen Bedrohungsgruppen unterscheiden. Winddreher APT Modus operandi ist sehr schwer zuschreiben. Die Gruppe greift selten Ziele mit Malware, obwohl Forscher waren in der Lage, die nur sehr wenige gezielten Angriffe aufzudecken und die besonderen macOS Malware zu analysieren, die verwendet wurde,. Aber was steht das Beste aus ist, dass die Bedrohung Schauspieler verwendet einzigartige Tricks macOS Infektion, Missbrauch des nativen Funktionalitäten des Systems um automatisch Malware auf Ziele zu verbreiten.
Wie in der eingangs genannten, Diese Gruppe remote installiert macOS malware auf gezielte System durch die Hilfe von benutzerdefinierten URL-Handler in Safari.
Weiter, die Angreifer nutzen „Möchtest du erlauben“Pop-ups, die macOS Anwender vertraut sind. Wie von Sicherheitsforscher Patrick Wardle, "Diese Dokument-Handler werden häufig in Gebrauch gesehen, wenn sie auf einem App Store-Link oder PDF klicken, die bittet die Nutzer um Erlaubnis, bevor Sie den Link oder eine Datei in einer registrierten App wie der Mac App Store oder Vorschau öffnen".
Forscher hervorgehoben, dass, obwohl Interaktion Benutzer erforderlich ist es eher minimal und kann vom Angreifer manipuliert werden. Diese Methode hat sich bewährt, da sie bereits Ziele der Regierung im Nahen Osten ausgetrickst.
Wie ist das möglich? Die Forscher angeboten ein Erläuterung:
auf macOS, Anwendungen können “werben” dass sie unterstützen (oder ‚Griff‘) verschiedene Dokumenttypen und / oder benutzerdefinierte URL-Schemas. Denk daran, als Anwendungs Spruch, “hey, wenn ein Benutzer ein Dokument vom Typ foo oder eine URL mit einem Schema von Bar zu öffnen versucht habe ich es!” Sie haben sicherlich diese auf macOS angetroffen. Zum Beispiel, wenn Sie einen Doppelklick ein PDF-Dokument klicken Preview.app ins Leben gerufen wird, um das Dokument zu handhaben. Oder in einem Browser klicken Sie einen Link zu einer Anwendung, die im Mac App Store lebt, die App Store.app gestartet wird diese Anforderung zu verarbeiten. Leider entschied sich der Weg von Apple zu implementieren (speziell, “registrieren”) Dokument-Handler und benutzerdefinierte URL-Schema, sie lässt reif für Missbrauch!
Benutzerdefinierte URL-Handler, und in ähnlicher Weise Handler dokumentieren, ist grundsätzlich für eine Anwendung eine Möglichkeit, das Betriebssystem sie sind in der Lage zu handhaben bestimmte Dokumenttypen benachrichtigen. Beispielsweise, VLC wirbt die Möglichkeit, viele verschiedene Videoformate zu akzeptieren, während Vorschau macht das gleiche für eine breite Palette von unterschiedlichen Dateitypen.
Die kürzere Erklärung dieses macOS würde ausnutzen, die folgende:
Der erste Schritt erfordert die Malware auf eine bösartige Website hochgeladen werden. Wenn besucht das Ziel dieser Website (höchstwahrscheinlich durch einen spearing Phishing-Angriff), die bösartige .zip-Datei wird von macOS heruntergeladen, und wird dann automatisch entpackt. Hier ist der Moment, zu beachten, dass Apple erlaubt Dateien, die es als sicher sieht entpackt werden, Malware-Instanzen einschließlich, wenn der Benutzer es über die Safari-Browser heruntergeladen. Nachdem die Datei entpackt, die Malware kann seine individuellen URL-Schema-Handler mit dem Dateisystem registrieren.
Code in der böswilligen Webseite kann dann laden Sie die benutzerdefinierte URL, Auf diese Weise macOS Auslösen der gerade installiert URL-Handler zu suchen und starten Sie die bösartige App. Der schwierige Teil ist, dass die Entwickler in der Lage, die Anwendung Text zu ändern und macht es irreführend. Was bedeutet das? Anstatt zu sagen "Wollen Sie Safari öffnen, damit die Anwendung", es könnte etwas sagen wie „Wollen Sie Safari ermöglichen Vorschau zu öffnen?", Die Forscher erklärten,.
Während Safari macht den Benutzer auffordern, um den Vorgang abzubrechen oder Zulassen zu laufen, Entwickler sind in der Lage, die Anwendung Text etwas zu ändern entworfen irreführend zu sein. Anstatt zu sagen “Wollen Sie Safari ermöglichen beängstigend Malware-Anwendung zu öffnen?” es könnte sagen, “Wollen Sie Safari ermöglichen Vorschau zu öffnen?” Schließlich würde das System versuchen, die Malware zu starten, die bereits in den Download-Ordner sein Opfer.
Wie die Winddreher APT macOS verhindern Exploit
Es gibt eine ganz einfache Möglichkeit, dies ausnutzen zu verhindern, und es erfordert automatisches Entpacken von sicheren Dateien deaktivieren. Um dies zu tun, folge diesen Schritten:
Zum Vorl, navigieren Sie zu Safari> Allgemein, und einfach deaktivieren Öffnen “Safe” Dateien nach dem Download.
Es ist sicher davon ausgehen, dass Apple automatisch planen kann Dateien verhindern, dass in seinem nächsten Updates standardmäßig unzipping.
In der Zwischenzeit, wenn Sie glauben, dass Ihr macOS von Malware infiziert ist, Sie können einen Scheck, und entfernen Sie entdeckten Malware-Stück laufen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: