Casa > cibernético Notícias > OSX / Linker Malware aproveita vulnerabilidade de gatekeeper conhecida
CYBER NEWS

OSX / Linker malware aproveita de vulnerabilidades Gatekeeper Conhecido

Novo malware para Mac está sendo desenvolvido visando um recentemente descoberto falha de segurança MacOS Gatekeeper. O malware em questão é conhecido como OSX / Linker, e foi analisada por Intego pesquisador de segurança Joshua Longo.




OSX / Linker Malware: o que sabemos até agora

O novo malware aproveita [wplinkpreview url =”https://sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] uma vulnerabilidade conhecida gatekeeper que foi divulgado em maio por Filippo Cavallarin. O bug poderia permitir que um binário malicioso baixado da internet para ignorar processo de digitalização do Gatekeeper. “Na versão MacOS X <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”O pesquisador escreveu maio sobre sua descoberta.

É digno de nota que está no design do Gatekeeper aceitar unidades externas e compartilhamentos de rede como locais seguros, permitindo que os aplicativos que eles contêm sejam executados perfeitamente. Contudo, reunindo dois recursos legítimos do macOS, é possível enganar o Gatekeeper e seu "comportamento pretendido".

Como funcionaria um ataque baseado na vulnerabilidade? Um invasor pode criar um arquivo zip com um link simbólico para um endpoint controlado por hacker de montagem automática (ex Documentos -> /net/evil.com/Documentos) e poderia enviá-lo para um sistema direcionado. O usuário baixaria o arquivo malicioso, e extrairia o arquivo malicioso sem suspeitar de nada.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/5-macos-vulnerabilities-shouldnt-overlooked/”] 5 MacOS vulnerabilidades que não deve ser negligenciado

Isso envolvia colocar um link simbólico em um arquivo compactado e vinculá-lo a um servidor malicioso do Network File System. O pesquisador descobriu que o Gatekeeper não examinaria esses arquivos específicos, permitindo que os usuários executem os links simbólicos. No caso de links simbólicos maliciosos, atacantes podem executar código malicioso em sistemas vulneráveis.

No inicio de junho, Equipe de pesquisa de malware da Intego descobriu o primeiro conhecido (de)uso da vulnerabilidade de Cavallarin, que parece ter sido usado como um teste na preparação para a distribuição de malware.

Embora a divulgação de vulnerabilidade de Cavallarin especifique um arquivo compactado .zip, as amostras analisadas pela Intego eram na verdade arquivos de imagem de disco. Parece que os fabricantes de malware estavam experimentando para ver se a vulnerabilidade do Cavallarin funcionaria com imagens de disco, também.

A empresa de segurança observou quatro amostras que foram carregadas para o VirusTotal em junho 6, aparentemente, poucas horas após a criação de cada imagem de disco. Todos eles vinculados a um aplicativo específico em um servidor NFS acessível pela Internet.

Tão longe, Os pesquisadores’ a teoria é que o fabricante do malware foi “apenas a realização de algum reconhecimento testes de detecção“. Não obstante, este é mais um lembrete de que os desenvolvedores de malware estão experimentando ativamente com novos métodos para ignorar a Apple está embutido mecanismos de proteção.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo