Un marchio nuovo MacOS sfruttano è stato rivelato dai ricercatori. L'exploit permetterebbe l'installazione remota del malware sul sistema mirato con l'aiuto dei gestori URL personalizzato in Safari. I ricercatori hanno dimostrato l'attacco in una demo. Va notato che questo attacco questo particolare attacco, però remoto, richiede una certa interazione con l'utente e si è dimostrato efficace contro gli utenti tech-savvy, i ricercatori hanno messo in guardia.
nella loro rapporto, gli esperti di sicurezza discutono “un attacco remoto che malware sia stato sfruttando come mezzo per accedere iniziale per sistemi MacOS tutte le patch”. Quando questo attacco del primo stadio è combinato con difetti in MacOS che permettono codice maligno per eseguire tutte le varie attività dannose, potrebbe creare “un elegante, tuttavia danneggiare attacco contro MacOS”. Avendolo detto, non dovrebbe sorprendere che questo attacco è stato descritto come “una campagna spionaggio informatico offensivo infetta Mac con un meccanismo di infezione romanzo".
Salto di vento APT Macos Exploit: Romanzo e sofisticata
I ricercatori ritengono che gli attori delle minacce alla base di questo attacco sono il cosiddetto salto di vento APT.
Prima di tutto, questo è un po 'oscuro attore spionaggio informatico, che ha preso di mira le persone che lavorano in un governo non rivelata. Sembra che questo attore minaccia oscura gestisce una sofisticata infrastruttura di phishing, ed è in grado di effettuare attacchi spear phishing tramite messaggi e-mail e SMS. Questo permette l'attacco di monitorare i suoi bersagli in modo continuo durante la fase di ricognizione, Nel frattempo ingannando i suoi obiettivi durante le credenziali che raccolgono fasi attraverso la rappresentazione di fornitori di piattaforme globali e locali, i ricercatori hanno rivelato.
Inoltre, ci sono diverse cose che distinguono salto di vento APT altri gruppi simili minaccia. Salto di vento di APT modus operandi è molto difficile da attribuire. Il gruppo si impegna raramente bersagli con il malware, anche se i ricercatori sono stati in grado di scoprire i pochissimi attacchi mirati e di analizzare il malware particolare MacOS che è stato utilizzato. Ma quello che spicca di più è che l'attore minaccia utilizza unici trucchi infezione MacOS che abusare funzionalità native del sistema per diffondere il malware automaticamente a obiettivi.
Come accennato all'inizio, questo gruppo installa remoto Macos il malware il sistema mirato attraverso l'aiuto di gestori URL personalizzato in Safari.
Inoltre, gli aggressori usano “Vuoi consentire”popup che sono familiari agli utenti MacOS. Come spiegato dal ricercatore di sicurezza Patrick Wardle, "questi gestori di documenti sono spesso visti in uso quando si fa clic su un link App Store o PDF, che chiede agli utenti di autorizzazione prima di aprire il link o file in un'applicazione registrato come il Mac App Store o Anteprima".
I ricercatori hanno sottolineato che, anche se è richiesta l'interazione dell'utente è piuttosto minima e può essere manipolato da un aggressore. Questo metodo ha dimostrato di successo come già ingannato gli obiettivi del governo in Medio Oriente.
Come è possibile? I ricercatori hanno offerto un spiegazione:
su MacOS, le applicazioni possono “pubblicizzare” che possono sostenere (o ‘gestire’) vari tipi di documenti e / o schemi URL personalizzati. Pensaci, come detto applicazione, “hey, se un utente tenta di aprire un documento di tipo foo o di un URL con uno schema di bar ho preso!” Hai sicuramente incontrato questo su MacOS. Per esempio, quando si fa doppio clic su un documento .pdf Preview.app viene lanciato per gestire il documento. O in un browser si fa clic su un collegamento a un'applicazione che vive nel Mac App Store, App Store.app viene lanciato per elaborare la richiesta. Purtroppo il modo in cui Apple ha deciso di implementare (specificamente, “Registrare”) gestori di documenti e schemi URL personalizzati, lascia li maturi per abuso!
gestori URL personalizzato, e allo stesso modo di documentare i gestori, sono fondamentalmente un modo per un'applicazione per notificare il sistema operativo sono in grado di gestire certi tipi di documenti. Per esempio, VLC pubblicizza la capacità di accettare molti formati video differenti, mentre Preview fa lo stesso per una vasta gamma di diversi tipi di file.
La spiegazione più breve di questa MacOS sfruttamento sarebbe il seguente:
Il primo passo richiede il malware per essere caricati su un sito maligno. Quando il bersaglio visita questo sito (molto probabilmente attraverso un attacco di phishing trafiggendo), il file .zip dannoso viene scaricato da MacOS, e poi viene decompresso automaticamente. Ecco il momento di notare che Apple permette file si vede come sicuro da essere decompresso, compresi i casi di malware se l'utente ha scaricato tramite il browser Safari. Dopo che il file viene decompresso, il malware può registrare il suo gestore di schema URL personalizzato con il file system.
Codice nella pagina web malintenzionato può quindi caricare l'URL personalizzato, in questo modo innescando MacOS per cercare il gestore URL appena installato e lanciare l'applicazione dannoso. La parte difficile è che gli sviluppatori sono in grado di modificare il testo di applicazione e renderlo fuorviante. Che cosa significa questo? Invece di dire "Vuoi consentire Safari per aprire l'applicazione", si potrebbe dire qualcosa come “Vuoi consentire Safari per aprire Anteprima?", i ricercatori hanno spiegato.
Mentre Safari non richiedere all'utente di annullare o consentire il funzionamento a correre, gli sviluppatori sono in grado di modificare il testo applicazione per qualcosa di progettato per essere fuorviante. Invece di dire “Vuoi consentire Safari per aprire l'applicazione di malware spaventoso?” si potrebbe dire “Vuoi consentire Safari per aprire Anteprima?” Infine il sistema avrebbe cercato di lanciare il malware, che sarà già nella cartella di download della vittima.
Come prevenire il salto di vento APT MacOS Exploit
C'è un modo molto semplice per evitare che questo exploit, e richiede di spegnere decompressione automatica dei file sicuri. Per farlo, Segui questi passi:
Vai a Preferenze, passare a Safari> Generale, e semplicemente deselezionare Aperto “al sicuro” file dopo il download.
E 'lecito ritenere che Apple potrebbe essere la pianificazione per evitare automaticamente i file da decomprimere di default nei suoi prossimi aggiornamenti.
Nel frattempo, se credete che il vostro MacOS è stato infettato da malware, è possibile eseguire un controllo e rimuovere qualsiasi pezzo di malware scoperto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: