彼得·什庫塔 三個月前,Gatekeeper 功能中發現了一個漏洞,該功能本應保護 macOS 免受潛在有害軟體的侵害。沒多久,第一次虐待嘗試就出現了。
Gatekeeper 旨在控制 Mac 應用程式。未經 Apple 簽署的軟體 然後系統將其標記為潛在危險 並在安裝前需要額外的使用者權限。
它可能是 你有興趣
阿瑪亞·托曼 然而,安全專家 Filippo Cavallarin 發現了該應用程式簽名檢查本身的問題。事實上,真實性檢查可以透過某種方式完全繞過。
在目前的形式中,Gatekeeper 將外部磁碟機和網路儲存視為「安全位置」。這意味著它允許任何應用程式在這些位置運行而無需再次檢查。這樣,用戶很容易被欺騙,在不知情的情況下安裝共用磁碟機或儲存裝置。該資料夾中的任何內容都很容易被 Gatekeeper 繞過。
換句話說,一個簽署的應用程式可以快速地為許多其他未簽署的應用程式打開道路。卡瓦拉林盡職盡責地向蘋果報告了該安全漏洞,然後等待了 90 天才得到回應。在此期限之後,他有權發布該錯誤,他最終也這樣做了。庫比蒂諾沒有人響應他的倡議。
第一次嘗試利用漏洞會產生 DMG 文件
同時,安全公司 Intego 發現了利用此漏洞的嘗試。上週晚些時候,惡意軟體團隊發現有人嘗試使用 Cavallarin 描述的方法來分發惡意軟體。
最初描述的錯誤使用了 ZIP 檔案。另一方面,新技術則在磁碟映像檔上碰碰運氣。
磁碟映像要麼採用具有 .dmg 副檔名的 ISO 9660 格式,要麼直接採用 Apple 的 .dmg 格式。通常,ISO 映像使用副檔名 .iso、.cdr,但對於 macOS,.dmg(Apple 磁碟映像)更為常見。這並不是惡意軟體第一次嘗試使用這些文件,顯然是為了躲避反惡意軟體程式。
Intego 於 6 月 6 日總共捕獲了 VirusTotal 捕獲的四個不同樣本。各個發現之間的差異大約是幾個小時,它們都透過網路路徑連接到 NFS 伺服器。
偽裝成 Adobe Flash Player 的 OSX/Surfbuyer 廣告軟體
專家發現這些樣本與 OSX/Surfbuyer 廣告軟體驚人地相似。這是一種廣告軟體惡意軟體,不僅在瀏覽網頁時騷擾使用者。
這些檔案偽裝成 Adobe Flash Player 安裝程式。這基本上是開發人員試圖說服用戶在 Mac 上安裝惡意軟體的最常見方法。第四個樣本由開發者帳戶 Mastura Fenny (2PVD64XRF3) 簽名,該帳戶過去已被用於數百個假 Flash 安裝程式。它們都屬於 OSX/Surfbuyer 廣告軟體。
到目前為止,捕獲的樣本除了臨時創建一個文字檔案之外什麼也沒做。由於應用程式在磁碟映像中動態鏈接,因此可以隨時輕鬆更改伺服器位置。並且無需編輯分發的惡意軟體。因此,經過測試,創建者很可能已經使用包含的惡意軟體編寫了「生產」應用程式。它不再需要被 VirusTotal 反惡意軟體捕獲。
它可能是 你有興趣
丹尼爾·赫魯斯卡 Intego 向 Apple 報告了該開發者帳戶,要求撤銷其憑證簽署權限。
為了提高安全性,建議用戶主要從 Mac App Store 安裝應用程序,並在從外部來源安裝應用程式時考慮其來源。
來源: 9to5Mac
