Casa > cibernético Notícias > macOS Exploit instala malware remotamente por meio de gerenciadores de URL personalizados no Safari
CYBER NEWS

MacOS Exploit Instala Malware remotamente via personalizado manipuladores de URL no Safari

Um novo MacOS explorar foi revelado por pesquisadores. A exploração permitiria a instalação remota de malware no sistema-alvo com a ajuda de manipuladores de URL personalizada no Safari. Os pesquisadores provaram o ataque em uma demonstração. Deve-se notar que este ataque este ataque particular, embora remoto, requer alguma interação do usuário e tem se mostrado eficaz contra usuários experientes em tecnologia, os pesquisadores alertaram.

Em seus relatório, os especialistas em segurança discutem “um ataque remoto que o malware tem aproveitado como meio de obter acesso inicial a sistemas macOS totalmente corrigidos”. Quando esse ataque de primeiro estágio é combinado com falhas no macOS que permitem que o código malicioso execute todas as várias atividades maliciosas, poderia criar “um elegante, ainda prejudicial ataque contra macOS ”. Tendo dito isto, não deve ser surpreendente que este ataque tenha sido descrito como “uma campanha ofensiva de espionagem cibernética infecta macs com um novo mecanismo de infecção”.

EXPLORAÇÃO DO MACOS DO WINDSHIFT APT: Novo e sofisticado

Os pesquisadores acreditam que os atores da ameaça por trás desse ataque são os chamados WINDSHIFT APT.

Em primeiro lugar, este é um ator de espionagem cibernética um tanto obscuro, que tem como alvo indivíduos que trabalham em um governo não divulgado. Parece que esse obscuro ator de ameaça opera uma sofisticada infraestrutura de phishing, e é capaz de realizar ataques de spear phishing por e-mail e mensagens SMS. Isso permite que o ataque rastreie seus alvos continuamente durante a fase de reconhecimento, entretanto, enganando seus alvos durante as fases de coleta de credenciais por meio da representação de fornecedores de plataformas globais e locais, os pesquisadores revelaram.

além disso, há várias coisas que distinguem o WINDSHIFT APT de outros grupos de ameaças semelhantes. O Modus Operandi do WINDSHIFT APT é muito difícil de atribuir. O grupo raramente envolve alvos com malware, embora os pesquisadores tenham sido capazes de descobrir os poucos ataques direcionados e analisar o malware macOS específico que foi usado. Mas o que mais se destaca é que o agente da ameaça usa truques exclusivos de infecção do macOS que abusar das funcionalidades nativas do sistema para espalhar malware automaticamente para os alvos.

Como mencionado no início, este grupo instala remotamente malware macOS no sistema direcionado com a ajuda de manipuladores de URL personalizados no Safari.

além disso, os atacantes usam “Você quer permitir”Pop-ups que são familiares aos usuários do macOS. Conforme explicado pelo pesquisador de segurança Patrick Wardle, “esses manipuladores de documentos são frequentemente usados ​​ao clicar em um link da App Store ou PDF, que pede permissão aos usuários antes de abrir o link ou arquivo em um aplicativo registrado como a Mac App Store ou Preview”.

Os pesquisadores destacaram que, embora a interação do usuário seja necessária, ela é mínima e pode ser manipulada pelo invasor. Este método provou ser bem-sucedido, pois já enganou alvos do governo no Oriente Médio.

Como isso é possível? Os pesquisadores ofereceram um explicação:

No macOS, aplicativos podem “anunciar” que eles podem apoiar (ou 'lidar') vários tipos de documentos e / ou esquemas de URL personalizados. Pense nisso, como um aplicativo dizendo, “Ei, se um usuário tentar abrir um documento do tipo foo ou uma url com um esquema de barra, entendi!” Você certamente já encontrou isso no macOS. Por exemplo, quando você clica duas vezes em um documento .pdf, Preview.app é iniciado para manipular o documento. Ou em um navegador, você clica em um link para um aplicativo que está na Mac App Store, o App Store.app é lançado para processar essa solicitação. Infelizmente, a forma como a Apple decidiu implementar (especificamente, “registro”) manipuladores de documentos e esquemas de URL personalizados, os deixa prontos para o abuso!

Manipuladores de URL personalizados, e manipuladores de documentos semelhantes, são basicamente uma forma de um aplicativo notificar o sistema operacional de que ele é capaz de lidar com certos tipos de documentos. Por exemplo, VLC anuncia a capacidade de aceitar muitos formatos de vídeo diferentes, enquanto a visualização faz o mesmo para uma ampla variedade de tipos de arquivos diferentes.

A explicação mais curta desse exploit do macOS seria a seguinte:

A primeira etapa requer que o malware seja carregado em um site malicioso. Quando o alvo visita este site (provavelmente por meio de um ataque de spearing phishing), o arquivo .zip malicioso é baixado pelo macOS, e é então descompactado automaticamente. Este é o momento de observar que a Apple permite que arquivos que ela considera seguros sejam descompactados, incluindo instâncias de malware se o usuário tiver baixado por meio do navegador Safari. Depois que o arquivo for descompactado, o malware pode registrar seu manipulador de esquema de URL personalizado com o sistema de arquivos.

O código na página da web maliciosa pode então carregar o URL personalizado, desta forma, acionando o macOS para procurar o manipulador de URL recém-instalado e iniciar o aplicativo malicioso. A parte complicada é que os desenvolvedores podem alterar o texto do aplicativo e torná-lo enganoso. O que isto significa? Ao invés de dizer "Deseja permitir que o Safari abra o aplicativo”, poderia dizer algo como “Quer permitir que o Safari abra a Antevisão?”, os pesquisadores explicaram.

Enquanto o Safari solicita que o usuário cancele ou permita que a operação seja executada, os desenvolvedores podem alterar o texto do aplicativo para algo projetado para ser enganoso. Ao invés de dizer “Quer permitir que o Safari abra um aplicativo de malware assustador?” poderia dizer “Quer permitir que o Safari abra a Antevisão?” Finalmente, o sistema tentaria lançar o malware que já estará na pasta de downloads da vítima.

Como evitar o WINDSHIFT APT macOS Exploit

Existe uma maneira bastante simples de evitar esse exploit, e requer desligar a descompactação automática de arquivos seguros. Para fazê-lo, Siga esses passos:

Vá para Preferências, navegue para Safari> Geral, e simplesmente desmarque Abrir “seguro” arquivos após o download.

É seguro presumir que a Apple pode estar planejando impedir automaticamente que os arquivos sejam descompactados por padrão em suas próximas atualizações.

Enquanto isso, se você acredita que seu macOS está infectado por malware, você pode verificar e remover qualquer malware descoberto.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo