Een gloednieuwe MacOS exploit werd onthuld door onderzoekers. De exploit zou installatie op afstand van malware worden vrijgemaakt voor het beoogde systeem met behulp van aangepaste URL handlers in Safari. De onderzoekers bleek de aanval in een demo. Opgemerkt dient te worden dat deze aanval dit specifieke aanval, hoewel op afstand, vereist enige interactie van de gebruiker en het is succesvol gebleken tegen de tech-savvy gebruikers, de onderzoekers waarschuwden.
in hun rapport, de security experts bespreken “Een externe aanval die malware is gebruik te maken als een middel om de eerste toegang te krijgen tot alle patches MacOS-systemen”. Wanneer deze eerste trap aanval gecombineerd met gebreken in MacOS waarmee schadelijke code alle verschillende kwaadaardige activiteiten verrichten, zou kunnen leiden tot “een elegante, nog beschadigen aanval tegen MacOS”. Dat gezegd te hebben, het mag niet verbazen dat deze aanval is beschreven als “een offensieve cyberspionage campagne infecteert Macs met een nieuw infectiemechanisme".
WINDSHIFT APT MacOS Exploit: Nieuwe en Sophisticated
Onderzoekers geloven dat de dreiging acteurs achter deze aanval zijn de zogenaamde WINDSHIFT APT.
Allereerst, Dit is een enigszins duister cyberspionage actor, die is gericht op personen die werkzaam zijn op een geheime regering. Het lijkt erop dat deze duistere dreiging acteur werkt een geavanceerde phishing-infrastructuur, en is in staat spear phishing-aanvallen via e-mail en sms-berichten uit te voeren. Hierdoor kan de aanslag zijn doelen voortdurend bewaken tijdens de fase verkenning, Ondertussen bedriegt zijn doelstellingen gedurende de geloofsbrieven oogsten fasen door de verpersoonlijking van globale en lokale platform providers, de onderzoekers bekendgemaakt.
Bovendien, er zijn verschillende dingen die WINDSHIFT APT van andere soortgelijke bedreiging groepen onderscheiden. APT's WINDSHIFT Modus Operandi is zeer moeilijk te schrijven. De groep grijpt zelden doelen met malware, hoewel de onderzoekers waren in staat om de weinige gerichte aanvallen bloot te leggen en de bijzondere MacOS malware die werd gebruikt te analyseren. Maar wat opvalt het meest is dat de dreiging acteur maakt gebruik van unieke MacOS infectie trucs die misbruik inheemse functionaliteiten van het systeem automatisch malware verspreiden doelen.
Zoals vermeld in het begin, deze groep op afstand geïnstalleerd MacOS malware op gerichte systeem door de hulp van aangepaste URL handlers in Safari.
Bovendien, de aanvallers gebruik “Heeft u wilt toestaan”Pop-ups die op de hoogte zijn MacOS gebruikers. Zoals uitgelegd door security-onderzoeker Patrick Wardle, "deze documenten omgaat, wordt vaak gezien in gebruik bij het klikken op een App Store link of PDF, welke gebruikers om toestemming vraagt voor het openen van de koppeling of het bestand in een geregistreerde app zoals de Mac App Store of Voorbeeld".
Onderzoekers benadrukt dat, hoewel interactie van de gebruiker nodig is, is vrij minimaal en kan worden gemanipuleerd door de aanvaller. Deze methode is succesvol gebleken als het reeds overheidsdoelstellingen bedrogen in het Midden-Oosten.
Hoe is dat mogelijk? De onderzoekers bood een uitleg:
MacOS, toepassingen kunnen “adverteren” dat ze kunnen ondersteunen (of ‘behandelen’) verschillende documenttypen en / of aangepaste URL's. Denk er aan, als applicatie gezegde, “hey als een gebruiker probeert een document van het type foo of een url te openen met een schema van bar Ik heb het!” Je hebt toch ondervonden dit op MacOS. Bijvoorbeeld als u dubbelklikt op een PDF-document Preview.app wordt gelanceerd om het document te verwerken. Of in een browser u klikt op een link naar een applicatie die woont in de Mac App Store, de App Store.app wordt gelanceerd om dat verzoek te verwerken. Helaas is de manier waarop Apple besloten om uit te voeren (in het bijzonder, “registreren”) document handlers en aangepaste URL-schema's, laat ze rijp voor misbruik!
Aangepaste URL handlers, en op dezelfde wijze te documenteren handlers, zijn in principe een manier voor een aanvraag bij de OS zij in staat zijn om bepaalde soorten document moeten omgaan melden. Bijvoorbeeld, VLC adverteert de mogelijkheid om veel verschillende video formaten, terwijl Voorbeeld doet hetzelfde voor een breed scala aan verschillende bestandstypen.
De kortere verklaring van deze MacOS exploiteren zou zijn de volgende:
De allereerste stap vereist dat de malware te worden geüpload naar een kwaadaardige site. Als het doel bezoekt deze website (het meest waarschijnlijk door een spearing phishingaanval), de kwaadaardige .zip-bestand wordt gedownload door MacOS, en wordt vervolgens automatisch uitgepakt. Hier is het moment om op te merken dat Apple mogelijk bestanden die het ziet als veilig te worden uitgepakt, inclusief malware exemplaren als de gebruiker het bestand is gedownload via de Safari-browser. Nadat het bestand is uitgepakt, de malware kan de aangepaste URL-schema handler registreren met het bestandssysteem.
Code in de kwaadaardige webpagina kan dan plaatst u de aangepaste URL, deze weg triggering MacOS te zoeken van de zojuist geïnstalleerde URL handler en de kwaadaardige app te starten. Het lastige is dat ontwikkelaars in staat zijn om de toepassing tekst veranderen en maken het misleidend. Wat betekent dit? Inplaats van zeggen "Wilt u om Safari de toepassing te openen", het kan iets zeggen als “Wilt u om Safari preview te openen?", de onderzoekers verklaard.
Terwijl Safari doet vraagt de gebruiker om te annuleren of Toestaan de operatie uit te voeren, ontwikkelaars in staat zijn om de toepassing tekst te veranderen om iets ontworpen om te misleiden. Inplaats van zeggen “Wilt u om Safari eng malware applicatie te openen?” het zou kunnen zeggen “Wilt u om Safari preview te openen?” Tot slot zou het systeem proberen om de malware die al zal zijn in de map van het slachtoffer downloads te lanceren.
Hoe te voorkomen de WINDSHIFT APT MacOS Exploit
Er is een heel eenvoudige manier om te voorkomen dat deze exploit, en het vereist automatisch uitpakken van veilige bestanden uit te schakelen. Om dit te doen, Volg deze stappen:
Ga naar Preferences, navigeren naar Safari> Algemeen, en eenvoudig vinkje Open “veilig” bestanden na downloaden.
Het is veilig om te veronderstellen dat Apple van plan is om automatisch te voorkomen dat bestanden openritsen standaard in haar komende updates.
In de tussentijd, Als u denkt dat uw MacOS wordt geïnfecteerd door malware, U kunt een controle uitvoeren en verwijder alle ontdekte malware stuk.