Neuer Mac Malware entwickelt wird, um eine kürzlich entdeckte macOS Torwächter Sicherheitslücke Targeting. Die Malware in Frage als OSX / Linker bekannt, und es wurde von Intego Sicherheitsforscher Joshua Lange analysiert.
OSX / Linkers Malware: was wir bisher wissen
Der neue Malware-Hebel [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] eine bekannte Schwachstelle Torwächter das im Mai von Filippo Cavallarin offenbart. Der Fehler könnte ein böswilliger binär aus dem Internet heruntergeladen erlauben Torwächter des Scan-Prozess zu umgehen. "Auf MacOS X-Version <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,“Die Forscher schrieben Mai nach seiner Entdeckung.
Es ist bemerkenswert, dass es in Torwächter Design ist sowohl externe Laufwerke und Netzwerkfreigaben als sichere Ort zu akzeptieren, so dass Anwendungen, die sie enthalten, einwandfrei laufen. Jedoch, indem sie zusammen zwei legitime Eigenschaften macOS, es ist möglich, die Torwächter und sein „beabsichtigtes Verhalten“ zu täuschen.
Wie ein Angriff auf der Grundlage der Verwundbarkeit Arbeit würde? Ein Angreifer kann mit einem symbolischen Link zu einem auto Hacker gesteuerte Endpunkt eine Zip-Datei Handwerk (ex Documents -> /net/evil.com/Documents) und könnte es zu einem gezielten System senden. Der Benutzer laden Sie das bösartige Archiv, und würde die bösartige Datei extrahieren, ohne etwas zu ahnen,.
Dies beinhaltete einen Symlink in einer Archivdatei setzen und es wieder zu einem bösartigen Network File System-Server verbinden. Die Forscher entdeckten, dass Torwächter nicht diese spezifischen Dateien scannen, so dass Benutzer die Symlinks auszuführen. Im Fall von bösartigen Symlinks, Angreifer könnte bösartigen Code auf anfälligen Systemen laufen.
Am Anfang Juni, Integos Malware Research-Team Die erste bekannte entdeckt (ab)Verwendung von Cavallarin Verwundbarkeit, das erscheint, als ein Test in der Zubereitung verwendet worden zu sein, zur Verteilung von Malware.
Obwohl Cavallarin der angibt Verwundbarkeit Offenlegung ein ZIP-komprimiertes Archiv, die Proben von Intego analysiert wurden tatsächlich Plattendateien Bild. Es scheint, dass Malware-Hersteller experimentieren, um zu sehen, ob Cavallarin Verwundbarkeit mit Disk-Images funktionieren würde, zu.
Die Sicherheitsfirma beobachtet vier Proben, die auf Virustotal Juni hochgeladen wurden 6, scheinbar innerhalb weniger Stunden nach der Erstellung jeden Disk-Image. Alle von ihnen auf eine bestimmte Anwendung auf einer Internet-NFS-Server verbunden.
Bisher, die Forscher’ Theorie ist, dass der Malware-Hersteller war “eine Erfassungstest reconnaissance lediglich leitende“. Dennoch, dies ist eine weitere Erinnerung daran, dass Malware-Entwickler aktiv mit neuen Methoden experimentiert Apples eingebaute Schutzmechanismen zu umgehen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: