CYBER NEWS

OSX / Linker Malware maakt gebruik van bekend Gatekeeper Vulnerability

Nieuwe Mac malware wordt ontwikkeld gericht op een recent ontdekte MacOS Gatekeeper veiligheidslek. De malware desbetreffende zogenaamde OSX / linker, en het is geanalyseerd door Intego security-onderzoeker Joshua Long.




OSX / Linker Malware: wat we tot nu toe weten

De nieuwe malware leverages

een bekende Gatekeeper kwetsbaarheid die werd onthuld in Mei door Filippo Cavallarin. De bug kan een schadelijke binaire gedownload van het internet te laten Gatekeeper's scanproces te omzeilen. "Op MacOS X versie <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”De onderzoeker schreef mei na zijn ontdekking.

Het is opmerkelijk dat het in het ontwerp Gatekeeper om zowel externe schijven en gedeelde netwerken als veilig te accepteren, waardoor apps die ze bevatten vlekkeloos draaien. Echter, door het samenstellen van twee legitieme kenmerken van MacOS, is het mogelijk om de Poortwachter en de “voorgenomen gedrag” te misleiden.

Hoe zou een aanval op basis van de kwetsbaarheid werk? Een aanvaller kan een zip-bestand met een symbolische link ambachtelijke een automount-hacker gecontroleerde eindpunt (ex Documenten -> /net/evil.com/Documents) en kon sturen naar een gerichte systeem. De gebruiker zou het downloaden van de kwaadaardige archief, en zou het kwaadaardige bestand uit te pakken zonder dat er iets te vermoeden.

Verwant: 5 MacOS kwetsbaarheden die niet mag worden vergeten

Dit betrof zetten een symbolische link in een archiefbestand en het koppelen van het terug naar een kwaadaardige Network File System server. De onderzoeker ontdekte dat Gatekeeper niet deze specifieke bestanden zouden scannen, zodat de gebruikers de symlinks voeren. In het geval van kwaadaardige symlinks, aanvallers kwaadaardige code op kwetsbare systemen draaien.

In het begin van juni, Intego malware onderzoeksteam ontdekte de eerste bekende (van)gebruik van kwetsbaarheid Cavallarin's, die lijkt te zijn gebruikt als een test in de voorbereiding op het verspreiden van malware.

Hoewel Cavallarin kwetsbaarheid openbaarmaking specificeert een zip-gecomprimeerd archief, het door Intego geanalyseerde monsters waren eigenlijk disk image-bestanden. Het lijkt erop dat malware makers aan het experimenteren waren om te zien of de kwetsbaarheid Cavallarin's zou werken met disk images, ook.

Het beveiligingsbedrijf waargenomen vier monsters die op juni tot VirusTotal zijn geüpload 6, schijnbaar binnen enkele uren na de oprichting elk disk image. Ieder van hen gekoppeld aan één bepaalde toepassing op een Internet-toegankelijke NFS server.

Zover, de onderzoekers’ theorie is dat de malware maker was “alleen is bepaalde detectie testen verkenning“. Niettemin, dit is een andere herinnering dat malware ontwikkelaars actief experimenteren met nieuwe methoden om Apple's ingebouwde beschermingsmechanismen te omzeilen.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...