Et adware-firma benytter seg av Mojaves upålitelige sikkerhetsproblem for Gatekeeper

Et usikkerhetsproblem som ikke er sendt ut, oppdaget i macOS Mojave forrige måned, tillater angripere å omgå sikkerhetsfunksjonen Gatekeeper fullstendig. Dessverre er det nå blitt utnyttet av et adware-selskap i det som har blitt kalt en test for å utarbeide ny Mac-malware.

For sammenheng oppdaget (og rapporterte Apple) forsker Filippo Cavallarin om et sikkerhetsoppsyn i macOS Mojave-operativsystemet som ville tillate en useriøs app å omgå portvaktbeskyttelsen. Sårbarheten drar fordel av det faktum at Gatekeeper anser eksterne stasjoner og nettverksandeler som trygge steder, noe som gjør at malware kan lanseres fra disse stedene uten Gatekeepers innblanding.

Sikkerhetsforskere over hos Intego peker oss nå mot fire diskbilder, forkledd som Adobe Flash Player-installatører, som ble lastet opp av et adware-firma til VirusTotal. Intego-forskere hevder at dette er en test for å distribuere ny Mac-malware, kalt OSX / Linker, som forsøker å utnytte den nevnte null-dagers feil i macOS 'Gatekeeper-beskyttelse..

De fire prøvene, lastet opp 6. juni i løpet av timer etter opprettelsen av hvert diskbilde, lenker alle til en nå fjernet app på en Internett-tilgjengelig NFS-server.

Intego bemerker at den dynamisk koblede Install.app så ut til å være en plassholder som ikke gjorde mye annet enn å lage en midlertidig tekstfil, men som lett kunne endres på serversiden når som helst uten at diskbildet i det hele tatt måtte endres.

Intego sier at det derfor er mulig at de samme eller nyopplastede diskbildene senere kunne blitt brukt til å distribuere en app som faktisk kjørte ondsinnet kode på et Mac's offer.

En av filene ble signert med en Apple Developer ID, noe som tyder på at testen ble opprettet av utviklerne av OSX / Surfbuyer-adware. Juryen er fremdeles ute om hvorvidt disse diskbildene, eller påfølgende bilder, kan ha blitt brukt i småskala eller målrettede angrep.