Nieuwe Mac malware wordt ontwikkeld gericht op een recent ontdekte MacOS Gatekeeper veiligheidslek. De malware desbetreffende zogenaamde OSX / linker, en het is geanalyseerd door Intego security-onderzoeker Joshua Long.
OSX / Linker Malware: wat we tot nu toe weten
De nieuwe malware leverages [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] een bekende Gatekeeper kwetsbaarheid die werd onthuld in Mei door Filippo Cavallarin. De bug kan een schadelijke binaire gedownload van het internet te laten Gatekeeper's scanproces te omzeilen. "Op MacOS X versie <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”De onderzoeker schreef mei na zijn ontdekking.
Het is opmerkelijk dat het in het ontwerp Gatekeeper om zowel externe schijven en gedeelde netwerken als veilig te accepteren, waardoor apps die ze bevatten vlekkeloos draaien. Echter, door het samenstellen van twee legitieme kenmerken van MacOS, is het mogelijk om de Poortwachter en de “voorgenomen gedrag” te misleiden.
Hoe zou een aanval op basis van de kwetsbaarheid werk? Een aanvaller kan een zip-bestand met een symbolische link ambachtelijke een automount-hacker gecontroleerde eindpunt (ex Documenten -> /net/evil.com/Documents) en kon sturen naar een gerichte systeem. De gebruiker zou het downloaden van de kwaadaardige archief, en zou het kwaadaardige bestand uit te pakken zonder dat er iets te vermoeden.
Dit betrof zetten een symbolische link in een archiefbestand en het koppelen van het terug naar een kwaadaardige Network File System server. De onderzoeker ontdekte dat Gatekeeper niet deze specifieke bestanden zouden scannen, zodat de gebruikers de symlinks voeren. In het geval van kwaadaardige symlinks, aanvallers kwaadaardige code op kwetsbare systemen draaien.
In het begin van juni, Intego malware onderzoeksteam ontdekte de eerste bekende (van)gebruik van kwetsbaarheid Cavallarin's, die lijkt te zijn gebruikt als een test in de voorbereiding op het verspreiden van malware.
Hoewel Cavallarin kwetsbaarheid openbaarmaking specificeert een zip-gecomprimeerd archief, het door Intego geanalyseerde monsters waren eigenlijk disk image-bestanden. Het lijkt erop dat malware makers aan het experimenteren waren om te zien of de kwetsbaarheid Cavallarin's zou werken met disk images, ook.
Het beveiligingsbedrijf waargenomen vier monsters die op juni tot VirusTotal zijn geüpload 6, schijnbaar binnen enkele uren na de oprichting elk disk image. Ieder van hen gekoppeld aan één bepaalde toepassing op een Internet-toegankelijke NFS server.
Zover, de onderzoekers’ theorie is dat de malware maker was “alleen is bepaalde detectie testen verkenning“. Niettemin, dit is een andere herinnering dat malware ontwikkelaars actief experimenteren met nieuwe methoden om Apple's ingebouwde beschermingsmechanismen te omzeilen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: