Nuevo malware para Mac está siendo desarrollado dirigidas a un recién descubierto falla de seguridad macOS Gatekeeper. El malware en cuestión es conocido como OSX / enlazador, y ha sido analizado por el investigador de seguridad Intego Joshua largo.
OSX / enlazador malware: lo que sabemos hasta ahora
Las nuevas palancas de malware [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] un conocido vulnerabilidad Gatekeeper que se da a conocer en mayo por Filippo Cavallarin. El fallo podría permitir a un binario malicioso descargado de Internet para eludir proceso de exploración de Gatekeeper. "En MacOS X versión <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”El investigador escribió en podrá, a su descubrimiento.
Es de destacar que es en el diseño del controlador de acceso a aceptar tanto duros externos y recursos compartidos de red como lugar seguro, permitiendo aplicaciones que contienen para funcionar sin problemas. Sin embargo, juntando dos funciones legítimas de macOS, es posible engañar al guardián de puerta y su “comportamiento previsto”.
¿Cómo sería un ataque basado en el trabajo de la vulnerabilidad? Un atacante podría crear un archivo zip con un enlace simbólico a un punto final de montaje automático pirata informático controlado (ex Documentos -> /net/evil.com/Documents) y podría enviarlo a un sistema objetivo. El usuario descarga el archivo malicioso, y se extrae el archivo malicioso sin sospechar nada.
Se trataba de poner un enlace simbólico en un archivo histórico y la vinculación de nuevo a un servidor malicioso Sistema de archivos de red. El investigador descubrió que Gatekeeper no sería escanear estos archivos específicos, lo que permite a los usuarios ejecutar los enlaces simbólicos. En el caso de los enlaces simbólicos maliciosos, los atacantes podrían ejecutar código malicioso en los sistemas vulnerables.
En el comienzo de junio, equipo de investigación de malware de Intego descubierto la primera conocida (de)uso de la vulnerabilidad de Cavallarin, que parece haber sido utilizado como una prueba en la preparación para la distribución de software malicioso.
Si bien la divulgación de la vulnerabilidad Cavallarin especifica un archivo .zip comprimido, las muestras analizadas por Intego eran en realidad los archivos de imagen de disco. Parece que los fabricantes de software malicioso estaban experimentando para ver si la vulnerabilidad de Cavallarin sería trabajar con imágenes de disco, demasiado.
La empresa de seguridad observó cuatro muestras que fueron subidos a VirusTotal de junio 6, aparentemente pocas horas después de la creación de imagen de disco de cada uno. Todos ellos vinculados a una aplicación particular en un servidor NFS accesible por Internet.
Hasta aquí, los investigadores’ La teoría es que el fabricante de software malicioso era “simplemente la realización de algunos de reconocimiento pruebas de detección“. No obstante, este es otro recordatorio de que los desarrolladores de malware están experimentando activamente con nuevos métodos para eludir los mecanismos de protección incorporados de Apple.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: