Новый macOS-зловред использует незакрытый обход Gatekeeper

Новый macOS-зловред использует незакрытый обход Gatekeeper

Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчена.

Новый способ обхода Gatekeeper обнаружил и недавно обнародовал исследователь из компании Segment Филиппо Кавалларин (Filippo Cavallarin). Выявленная им уязвимость позволяет выполнить вредоносное приложение на macOS с помощью архивного файла, содержащего символьную ссылку (symlink) на исполняемый код во внешнем хранилище. Шансы на успех велики, так как macOS автоматически подключает сетевые носители, а Gatekeeper слепо доверяет таким расположениям.

Уязвимости подвержены все сборки macOS вплоть до 10.14.5 включительно. Кавалларин сообщил в Apple о проблеме еще в феврале, однако исправлений так и не последовало.

О появлении вредоносного ПО, нацеленного на использование этого упущения, исследователи из Intego узнали в начале июня, когда нашли на Virus Total четыре файла в формате .dmg с образами диска разных стандартов. Все образцы были только что загружены анонимами и оказались связанными с одним и тем же приложением Install.app на открытом NFS-сервере в облаке IBM.

На момент проведения анализа инсталлятор уже удалили с хоста, там остались лишь фрагменты некоторых файлов. Тем не менее, эксперты убеждены, что их находка вредоносна. Во-первых, все обнаруженные ими dmg-файлы были замаскированы под установщик Adobe Flash Player, а это весьма распространенный камуфляж для macOS-зловредов. Во-вторых, один из образов диска был подписан сертификатом разработчика Apple, который также используют создатели рекламного ПО Surfbuyer, объявившегося в Интернете в конце прошлого года. Apple уже знает о злоупотреблениях и пытается отозвать скомпрометированный сертификат.

Судя по всему, новый macOS-зловред пока находится в стадии разработки и был загружен на Virus Total для проверки на обнаружение антивирусами. Авторы OSX/Linker также изменили схему PoC-атаки, которую опубликовал Кавалларин, но эксплойт еще не опробовали. В дикой природе OSX/Linker не замечен, однако исследователи убеждены, что вирусописателям в скором времени удастся осуществить свой замысел и выпустить зловредный продукт на просторы Интернета.

Вредоносным программам и ранее случалось с успехом обходить проверки Gatekeeper. Наглядный пример тому — дроппер Shlayer, загружающий на macOS программы для принудительного показа рекламы. Зловред тоже выдает себя за Adobe Flash Player и после обновления научился обманывать Gatekeeper с помощью легитимной подписи разработчика. Примерно в то же время злоумышленники попытались обойти сторожа macOS, внедрив зловредный инсталлятор в дистрибутив Little Snitch.

Источник: //threatpost.ru/osx-linker-malware-tries-to-use-recently-disclosed-gatekeeper-bypass-vulnerability/33252/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *