Une nouvelle marque macOS exploit a été révélé par des chercheurs. L'exploit permettrait l'installation à distance des logiciels malveillants sur le système ciblé avec l'aide des gestionnaires d'URL personnalisée dans Safari. Les chercheurs ont prouvé l'attaque dans une démo. Il convient de noter que cette attaque cette attaque particulière, mais à distance, nécessite une interaction de l'utilisateur et il a fait ses preuves contre les utilisateurs technophiles, les chercheurs ont mis en garde contre.
Dans leurs rapport, les experts de sécurité discutent « une attaque à distance que les logiciels malveillants a été tire parti comme moyen d'accéder initial aux systèmes MacOs entièrement patché ». Lorsque cette attaque de la première étape est associée à des failles dans macOS qui permettent le code malveillant d'exécuter toutes les différentes activités malveillantes, pourrait créer « un élégant, mais endommageant attaque contre macOS ». Cela dit, il ne devrait pas être surprenant que cette attaque a été décrite comme «une campagne de cyber-espionnage offensive infecte macs avec un nouveau mécanisme d'infection".
WINDSHIFT APT macOS Exploit: Roman et sophistiqué
Les chercheurs croient que les acteurs de la menace derrière cette attaque sont les soi-disant WINDSHIFT APT.
Tout d'abord, c'est un acteur d'espionnage cybernétique quelque peu obscur, qui a ciblé les personnes qui travaillent à un gouvernement non divulgué. Il semble que cet acteur de menace obscure exploite une infrastructure sophistiquée phishing, et est en mesure de mener des attaques de spear phishing via des messages e-mail et SMS. Cela permet à l'attaque de suivre ses cibles de façon continue pendant la phase de reconnaissance, tromper quant à lui ses objectifs au cours des titres de compétence phases récolte par l'usurpation d'identité des fournisseurs de plate-forme mondiale et locale, les chercheurs divulgués.
En outre, il y a plusieurs choses qui distinguent WINDSHIFT APT d'autres groupes de menace similaires. Modus Operandi de WINDSHIFT APT est très difficile d'attribuer. Le groupe engage rarement des cibles avec des logiciels malveillants, bien que les chercheurs ont pu découvrir les très peu d'attaques ciblées et d'analyser les logiciels malveillants macOS particulier qui a été utilisé. Mais ce qui ressort le plus est que l'acteur de menace utilise des astuces d'infection macos uniques abus des fonctionnalités natives du système pour diffuser automatiquement les logiciels malveillants à des cibles.
Comme il est mentionné au début,, ce groupe installe à distance logiciels malveillants macOS sur le système ciblé grâce à l'aide des gestionnaires d'URL personnalisée dans Safari.
En outre, les attaquants utilisent «Voulez-vous permettre» popups qui sont familiers aux utilisateurs macos. Comme l'a expliqué le chercheur en sécurité Patrick Wardle, "ces gestionnaires de documents sont fréquemment observés en cours d'utilisation en cliquant sur un lien App Store ou PDF, qui demande aux utilisateurs d'autorisation avant d'ouvrir le lien ou le fichier dans une application enregistrée comme le Mac App Store ou Aperçu".
Les chercheurs ont souligné que même si l'interaction de l'utilisateur est nécessaire, il est assez minime et peut être manipulé par l'attaquant. Cette méthode a fait ses preuves comme déjà dupé les objectifs du gouvernement au Moyen-Orient.
Comment est-ce possible? Les chercheurs ont offert un explication:
sur macOS, Les applications peuvent “afficher” qu'ils peuvent prendre en charge (ou « gérer ») différents types de documents et / ou schémas d'URL personnalisées. Penses-y, comme dit l'application, “hey si un utilisateur tente d'ouvrir un document de type foo ou une URL avec un système de barre, je l'ai!” Vous avez sûrement rencontré ce sous Mac OS. Par exemple, lorsque vous double cliquez sur un document .pdf Preview.app est lancé pour gérer le document. Ou dans un navigateur que vous cliquez sur un lien vers une application qui vit dans le Mac App Store, l'App Store.app est lancé pour traiter cette demande. Malheureusement, la façon dont Apple a décidé de mettre en œuvre (spécifiquement, “registre”) documents gestionnaires et schémas d'URL personnalisées, les feuilles mûres comme un abus!
gestionnaires d'URL personnalisée, et documenter de façon similaire les gestionnaires, sont essentiellement un moyen pour une application d'informer le système d'exploitation, ils sont capables de gérer certains types de documents. Par exemple, VLC annonce la possibilité d'accepter de nombreux formats vidéo, tout Preview fait la même chose pour un large éventail de différents types de fichiers.
L'explication plus courte de cette macOS exploiter serait la suivante:
La première étape nécessite le logiciel malveillant à télécharger sur un site malveillant. Lorsque la cible visite ce site (très probablement par une attaque de phishing harpon), le fichier .zip malveillant est téléchargé par macOS, et est ensuite automatiquement décompressé. Voici le moment de noter qu'Apple Autorisez les fichiers qu'il considère comme sûr pour être décompressé, y compris les cas de logiciels malveillants si l'utilisateur a téléchargé via le navigateur Safari. Une fois le fichier décompressé, le logiciel malveillant peut enregistrer son gestionnaire de système d'URL personnalisé avec le système de fichiers.
Code dans la page Web malveillant peut alors charger l'URL personnalisée, Ainsi le déclenchement macOS pour rechercher le gestionnaire d'URL vient d'installer et de lancer l'application malveillante. La partie la plus délicate est que les développeurs sont en mesure de modifier le texte d'application et la rendre trompeuse. Qu'est-ce que cela signifie? Au lieu de dire "Voulez-vous permettre Safari pour ouvrir l'application", il pourrait dire quelque chose comme «Est-ce que vous voulez autoriser Safari à ouvrir Aperçu?", les chercheurs ont expliqué.
Alors que Safari n'invite l'utilisateur à annuler ou Autoriser l'opération à exécuter, les développeurs sont en mesure de modifier le texte d'application à quelque chose conçu pour induire en erreur. Au lieu de dire “Est-ce que vous voulez autoriser Safari pour ouvrir l'application des programmes malveillants effrayant?” il pourrait dire “Est-ce que vous voulez autoriser Safari à ouvrir Aperçu?” Enfin, le système tenterait de lancer le logiciel malveillant qui sera déjà dans le dossier de téléchargement de la victime.
Comment prévenir l'WINDSHIFT APT macOS Exploit
Il y a une façon très simple d'éviter cet exploit, et il faut désactiver dézipper automatique des fichiers de sécurité. Pour ce faire, Suivez ces étapes:
Allez dans les Préférences, accédez à Safari> Général, et il suffit de décocher Ouvrir “sûr” fichiers après téléchargement.
Il est raisonnable de supposer que Apple peut être la planification pour éviter automatiquement les fichiers de décompressé par défaut dans ses mises à jour à venir.
Pendant ce temps, si vous croyez que votre macOS est infecté par des logiciels malveillants, vous pouvez exécuter une vérification et enlever toute pièce malware découvert.