Perusahaan adware mengambil keuntungan dari kerentanan Gatekeeper yang tidak dititipkan Mojave

Kerentanan yang belum ditambal, ditemukan di macOS Mojave bulan lalu, memungkinkan penyerang untuk sepenuhnya mem-bypass fitur keamanan Gatekeeper. Sayangnya, sekarang telah dieksploitasi oleh perusahaan adware dalam apa yang disebut tes dalam persiapan malware Mac baru.

Untuk konteks, peneliti Filippo Cavallarin baru-baru ini menemukan (dan melaporkan ke Apple) pengawasan keamanan dalam sistem operasi MacOS Mojave yang akan memungkinkan aplikasi jahat untuk mem-bypass perlindungan Gatekeeper. Kerentanan mengambil keuntungan dari kenyataan bahwa Gatekeeper menganggap drive eksternal dan berbagi jaringan sebagai lokasi aman, yang memungkinkan malware diluncurkan dari lokasi ini tanpa intervensi Gatekeeper.

Peneliti keamanan di Intego sekarang mengarahkan kami ke empat gambar disk, yang menyamar sebagai pemasang Adobe Flash Player, yang diunggah oleh perusahaan adware ke VirusTotal. Peneliti Intego mengklaim ini adalah tes dalam persiapan untuk mendistribusikan malware Mac baru, yang disebut OSX / Linker, yang mencoba untuk memanfaatkan cacat zero-day yang disebutkan di atas dalam perlindungan Gatekeeper macOS '.

Keempat sampel, diunggah pada 6 Juni dalam beberapa jam setelah penciptaan setiap disk image, semua tautan ke aplikasi yang sekarang dihapus pada server NFS yang dapat diakses Internet.

Intego mencatat bahwa Install.app yang tertaut secara dinamis tampaknya menjadi placeholder yang tidak melakukan banyak hal selain membuat file teks sementara, tetapi itu dapat dengan mudah berubah di sisi server kapan saja tanpa gambar disk perlu dimodifikasi sama sekali.

Intego mengatakan karena itu mungkin bahwa gambar disk yang sama atau yang baru diunggah nantinya dapat digunakan untuk mendistribusikan aplikasi yang benar-benar mengeksekusi kode berbahaya pada Mac korban.

Salah satu file ditandatangani dengan ID Pengembang Apple, menyarankan pengujian dibuat oleh pengembang OSX / Surfbuyer adware. Juri masih belum mengetahui apakah gambar disk ini, atau yang berikutnya, mungkin telah digunakan dalam serangan berskala kecil atau bertarget.