Nuovo malware per Mac è stato sviluppato destinati a una recente scoperta falla di sicurezza MacOS Gatekeeper. Il malware in questione è conosciuta come OSX / Linker, ed è stato analizzato da Intego ricercatore di sicurezza Joshua lungo.
OSX / Linker Malware: quello che sappiamo finora
Le nuove leve di malware [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] una vulnerabilità nota gatekeeper che è stato descritto in maggio da Filippo Cavallarin. Il bug potrebbe consentire a un binario dannoso scaricato da internet per bypassare il processo di scansione di Gatekeeper. "Sulla versione MacOS X <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”Il ricercatore ha scritto maggio sulla sua scoperta.
E 'degno di nota che è nel disegno di Gatekeeper per accettare entrambe le unità esterne e condivisioni di rete come luogo sicuro, consentendo applicazioni che essi contengono per funzionare senza problemi. Tuttavia, mettendo insieme due caratteristiche legittimi di MacOS, è possibile ingannare il gatekeeper e il suo “comportamento previsto”.
Come sarebbe un attacco basato sul lavoro di vulnerabilità? Un utente malintenzionato potrebbe creare un file zip con un link simbolico a un endpoint automount hacker controllato (ex Documenti -> /net/evil.com/Documents) e potrebbe inviarlo a un sistema mirato. L'utente dovrebbe scaricare l'archivio dannoso, e avrebbe estratto il file dannoso senza sospettare nulla.
Ciò ha comportato mettere un link simbolico in un file di archivio e il collegamento di nuovo ad un server System dannoso Network File. Il ricercatore ha scoperto che gatekeeper non sarebbe la scansione di questi file specifici, consentendo agli utenti di eseguire i collegamenti simbolici. In caso di link simbolici maligni, attaccanti potrebbe eseguire codice dannoso sui sistemi vulnerabili.
All'inizio del mese di giugno, team di ricerca malware di Intego scoperto la prima nota (da)Sfrutta la vulnerabilità del Cavallarin, che sembra essere stato utilizzato come test in preparazione per la distribuzione di malware.
Anche se vulnerabilità di Cavallarin specifica un archivio .zip compressa, i campioni analizzati da Intego erano in realtà i file di immagine disco. Sembra che i responsabili del malware sono stati sperimentando per vedere se la vulnerabilità di Cavallarin avrebbe lavorato con le immagini disco, troppo.
La società di sicurezza ha osservato quattro campioni che sono stati caricati a VirusTotal giugno 6, apparentemente poche ore dopo la creazione di ogni immagine del disco. Tutti loro collegato ad una particolare applicazione su un server NFS accessibile da Internet.
Finora, i ricercatori’ teoria è che il creatore di malware è stato “soltanto conducendo alcuni test di rilevazione di ricognizione“. Ciò nonostante, questo è un altro ricordo che gli sviluppatori di malware stanno attivamente sperimentando nuovi metodi per aggirare i meccanismi di protezione integrati di Apple.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: