Una marca nuevos macOS explotan ha sido revelado por los investigadores. La vulnerabilidad permitiría la instalación remota de software malicioso en su sistema con la ayuda de manipuladores URL personalizada en Safari. Los investigadores demostraron que el ataque en una demostración. Cabe señalar que este ataque este ataque en particular, aunque remota, requiere un poco de interacción con el usuario y se ha demostrado su eficacia contra los usuarios expertos en tecnología, los investigadores advirtieron.
en su informe, los expertos en seguridad de discutir “un ataque a distancia que el malware ha sido aprovechando como un medio para obtener acceso inicial a los sistemas MacOS con todos los parches”. Cuando este ataque de la primera etapa se combina con defectos en macOS que permiten código malicioso para llevar a cabo todas las diversas actividades maliciosas, podría crear “una elegante, sin embargo dañar ataque contra macOS”. Una vez dicho esto, no debería ser sorprendente que este ataque ha sido descrito como “una campaña de ciberespionaje ofensiva infecta macs con un novedoso mecanismo de infección".
WindShift APT macOS Exploit: Novedoso y sofisticado
Los investigadores creen que los actores de amenaza detrás de este ataque son el llamado WindShift APT.
Ante todo, esto es un actor de espionaje cibernético tanto oscura, que ha sido dirigido personas que trabajan en un gobierno no revelado. Parece ser que este actor oscura amenaza opera una infraestructura sofisticada de suplantación de identidad, y es capaz de llevar a cabo ataques de phishing de lanza a través de mensajes de correo electrónico y SMS. Esto permite que el ataque para hacer un seguimiento de sus objetivos de forma continua durante la fase de reconocimiento, Mientras tanto engañando a sus objetivos durante las credenciales que cosechan las fases a través de la suplantación de proveedores globales y locales de la plataforma, los investigadores describen.
Además, hay varias cosas que distinguen WindShift APT de otros grupos similares de amenaza. WindShift de APT modus operandi es muy difícil atribuir. El grupo rara vez se involucra objetivos con software malicioso, aunque los investigadores fueron capaces de descubrir los pocos ataques dirigidos y analizar el malware macOS particular que se utilizó. Pero lo que más destaca es que el actor utiliza la amenaza de infección únicos trucos que MacOS abusar de funcionalidades nativas del sistema para extender automáticamente el malware a los objetivos.
Como se ha mencionado en el principio, este grupo se instala de forma remota el malware macOS el sistema de destino a través de la ayuda de manipuladores URL personalizada en Safari.
Además, los atacantes utilizan “¿Quieres permitir”pop-ups que son familiares para los usuarios de MacOS. Según lo explicado por el investigador de seguridad Patrick Wardle, "estos controladores de documentos se ven con frecuencia en uso cuando se hace clic en un enlace de App Store o PDF, que pide a los usuarios de permiso antes de abrir el enlace o archivo en una aplicación registrada como el Mac App Store o Vista".
Los investigadores resaltan que a pesar de que se requiere la interacción del usuario es más bien mínimo y puede ser manipulada por el atacante. Este método ha demostrado su eficacia como ya engañado objetivos del gobierno en el Medio Oriente.
Cómo es eso posible? Los investigadores ofrecieron una explicación:
en macOS, aplicaciones pueden “anunciar” que pueden soportar (o ‘manejar’) diversos tipos de documentos y / o esquemas de URL personalizadas. Piénsalo, como un dicho de aplicación, “bueno, si un usuario intenta abrir un documento de tipo foo o una URL con un esquema de la barra lo tengo!” Seguramente has encontrado esta en MacOS. Por ejemplo, cuando hace clic en un documento .pdf doble Preview.app se pone en marcha para manejar el documento. O en un navegador hace clic en un enlace a una aplicación que vive en la Mac App Store, la App Store.app se pone en marcha para procesar dicha solicitud. Por desgracia, la manera de Apple decidió poner en práctica (específicamente, “registro”) manipuladores de documentos y esquemas de URL personalizada, les deja maduro para el abuso!
manipuladores URL personalizada, y del mismo modo documentar los manipuladores, son básicamente una manera para que una aplicación para notificar al sistema operativo que son capaces de manejar ciertos tipos de documentos. Por ejemplo, VLC anuncia la posibilidad de aceptar muchos diferentes formatos de vídeo, mientras que Vista preliminar hace lo mismo para una amplia gama de diferentes tipos de archivos.
La explicación más corta de este macOS explotar sería el siguiente:
El primer paso requiere que el malware para ser subido a un sitio malicioso. Cuando el objetivo se visita esta página web (probablemente a través de un ataque de phishing con arpón), el archivo .zip malicioso se descarga por macOS, y luego se descomprime automáticamente. Aquí es el momento de señalar que Apple permita que los archivos que ve como seguro para ser descomprimido, incluyendo casos de malware si el usuario ha descargado a través del navegador Safari. Después de que el archivo se descomprime, el programa malicioso puede registrar su manejador esquema de URL personalizado con el sistema de archivos.
Código en la página web maliciosa puede entonces cargar la URL personalizada, provocando de esta manera macOS para buscar el controlador de URL que acaba de instalar y poner en marcha la aplicación maliciosa. La parte difícil es que los desarrolladores son capaces de alterar el texto de la solicitud y que sea engañosa. ¿Qué significa este? En lugar de decir "¿Quieres permitir que Safari para abrir la aplicación", se podría decir algo como “¿Quieres permitir que Safari para abrir Vista previa?", los investigadores explicaron.
Mientras que Safari no pedirá al usuario que permitir o cancelar la operación a ejecutar, los desarrolladores son capaces de cambiar el texto de la solicitud a algo diseñado para ser engañosa. En lugar de decir “¿Quieres permitir que Safari para abrir la aplicación de malware miedo?” se podría decir “¿Quieres permitir que Safari para abrir Vista previa?” Por último, el sistema podría tratar de poner en marcha el programa malicioso que ya estará en la carpeta de descargas de la víctima.
Cómo prevenir la WindShift APT macOS Exploit
Hay una manera muy simple para evitar esta vulnerabilidad, y se requiere para apagar descompresión automática de archivos seguros. Para ello, sigue estos pasos:
Ir a Preferencias, vaya a Safari> General, y simplemente desactive abierto “a salvo” después de descargar archivos.
Es seguro asumir que Apple podría estar planeando para evitar automáticamente los archivos de descomprimir por defecto en sus próximas actualizaciones.
Mientras tanto, Si usted cree que su macOS está infectado con malware, puede ejecutar un cheque y eliminar cualquier pieza de malware descubierto.