Mac nouveaux logiciels malveillants est développé ciblant une faille de sécurité macOS Gatekeeper récemment découvert. Le logiciel malveillant en question est connu sous le nom OSX / Linker, et il a été analysé par la sécurité Joshua chercheur à long Intego.
OSX / Linker Malware: ce que nous savons à ce jour
Les nouveaux logiciels malveillants tire parti [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] une vulnérabilité connue Gatekeeper qui a été communiqué en mai dernier par Filippo Cavallarin. Le bug pourrait permettre à un fichier binaire malveillant téléchargé à partir de l'Internet pour contourner le processus de numérisation de Gatekeeper. "Sur Mac OS X version <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,» Le chercheur a écrit en sa découverte peut, à la.
Il est à noter que ce soit dans la conception de Gatekeeper d'accepter les deux disques externes et les partages réseau comme lieu sûr, permettant des applications qu'ils contiennent de fonctionner sans problèmes. Cependant, en réunissant deux caractéristiques légitimes de macOS, il est possible de tromper le Gatekeeper et son « comportement attendu ».
Comment une attaque basée sur le travail de la vulnérabilité? Un attaquant pourrait concevoir un fichier zip avec un lien symbolique vers un point final contrôlé hacker-automount (ex Documents -> /net/evil.com/Documents) et pourrait l'envoyer à un système ciblé. L'utilisateur malveillant télécharger l'archive, et va extraire le fichier malveillant sans se douter de rien.
Cela impliquait de mettre un lien symbolique dans un fichier d'archive et de le relier à un serveur de système de fichiers réseau malveillant. Le chercheur a découvert que Gatekeeper ne pas analyser ces fichiers spécifiques, permettant aux utilisateurs d'exécuter les liens symboliques. En cas de liens symboliques malveillants, les attaquants pourraient exécuter du code malveillant sur les systèmes vulnérables.
Au début de Juin, équipe de recherche des programmes malveillants de intego découvert la première connue (de)utilisation de la vulnérabilité de Cavallarin, qui semble avoir été utilisé comme un test en vue de la distribution de logiciels malveillants.
Bien que la divulgation de la vulnérabilité de Cavallarin spécifie une archive compressée .zip, les échantillons analysés par Intego étaient en fait des fichiers d'image disque. Il semble que les responsables de programmes malveillants expérimentaient pour voir si la vulnérabilité de Cavallarin travaillerait avec des images de disque, trop.
La société de sécurité a observé quatre échantillons qui ont été téléchargés à VirusTotal en Juin 6, apparemment en quelques heures de la création de chaque image disque. Tous liés à une application particulière sur un serveur NFS accessible par Internet.
Jusqu'ici, les chercheurs’ la théorie est que le fabricant des logiciels malveillants a été “simplement effectuer une reconnaissance de tests de détection“. Cependant, c'est un autre rappel que les développeurs de logiciels malveillants expérimentent des nouvelles méthodes pour contourner les mécanismes de protection intégrés d'Apple.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: