Pesquisadores descobriram amostras de malware para Mac nunca antes vistas

Pesquisadores descobriram amostras de malware para Mac nunca antes vistas

26 de junho de 2019 Off Por Suporte Rede Digital

Pesquisadores descobriram amostras de malware para Mac nunca antes vistas, que acreditam estar sendo desenvolvidas para atacar uma vulnerabilidade divulgada recentemente no sistema operacional MacOS.

A vulnerabilidade, um desvio que foi divulgado em maio e ainda não foi corrigido pela Apple, existe no recurso de segurança do MacOS Gatekeeper, que verifica os aplicativos baixados antes de permitir que eles sejam executados em Macs. Pesquisadores dizem agora que identificaram novas amostras de malware, apelidadas de OSX / Linker, que afirmam estar sendo desenvolvidas para atacar a vulnerabilidade.

Embora os pesquisadores tenham dito que não está claro se alguma das amostras de malware é parte de uma campanha ativa, eles suspeitam que as amostras estão sendo desenvolvidas para uma exploração iminente da vulnerabilidade.

“No início da semana passada, a equipe de pesquisa de malware da Intego descobriu os primeiros usos conhecidos da vulnerabilidade de [segurança pesquisador Filippo] Cavallarin, que parecem ter sido usados ​​- pelo menos no começo – como um teste em preparação para a distribuição de malware”, disse a Intego. Análise de segunda-feira .

A Apple não respondeu a um pedido de comentário do Threatpost sobre o novo malware ou a vulnerabilidade existente.

A falha

vulnerabilidade no Gatekeeper foi divulgada em 24 de maio pelo pesquisador de segurança Filippo Cavallarin. A falha permite a execução de códigos maliciosos em sistemas que executam a versão mais recente do Mojave (10.14.0).

A questão, segundo o pesquisador, decorre do fato de que o Gatekeeper trata os aplicativos que são carregados de um compartilhamento de rede de forma diferente dos aplicativos que foram baixados da Internet.

Essencialmente, Cavallarin descobriu que, se um invasor criasse um link simbólico (um arquivo que contém uma referência a outro arquivo ou diretório) que levasse a um aplicativo em um servidor NFS (Network File System) controlado pelo invasor, o aplicativo não seria verificado por o recurso de proteção.

Na prova de conceito de Cavallarin, um anexo de arquivo .zip contendo o link simbólico (que leva ao aplicativo) poderia ignorar o processo de verificação do Gatekeeper. Tudo o que um invasor precisa fazer é persuadir a vítima a baixar o anexo.

O pesquisador disse que relatou a falha para a Apple em 22 de fevereiro. Embora a Apple tenha dito que o problema seria resolvido em 90 dias, a empresa perdeu seu prazo, e o pesquisador divulgou publicamente suas descobertas em maio.

Exemplos de Malware

Os pesquisadores da Intego disseram que no dia 6 de junho eles descobriram novas amostras de malware, que acreditam estar em desenvolvimento em um esforço para atacar a vulnerabilidade do Gatekeeper.

Enquanto a prova de conceito de Cavallarin utilizava um arquivo compactado .zip que as vítimas baixavam (que tinha o link para o aplicativo malicioso), as amostras descobertas pelos pesquisadores, em vez disso, usavam imagens de arquivos em disco. “Parece que os criadores de malware estavam experimentando para ver se a vulnerabilidade de Cavallarin também funcionaria com as imagens de disco”, disseram os pesquisadores.

No geral, havia quatro imagens de arquivo de disco carregadas de malware carregadas no VirusTotal. Pesquisadores rastrearam os arquivos de volta para um servidor NFS. O aplicativo conectado ao servidor já foi removido, mas os pesquisadores conseguiram obter mais pistas sobre o malware a partir das imagens dos arquivos em disco.

Essas imagens variavam de uma imagem ISO 9660 com um nome de arquivo .dmg ou um arquivo .dmg no formato Apple Disk Image real. As extensões de imagem de disco da Apple (.dmg) geralmente são usadas para distribuir software do Mac.

As imagens de disco foram disfarçadas como instaladores do Adobe Flash Player – uma forma comum que os agentes maliciosos induzem os usuários de Mac a instalar malware – e um dos exemplos foi assinado por um ID de desenvolvedor da Apple que foi usado para assinar centenas de Flash Player malicioso falso. arquivos. Esses sinais indicam que as imagens do arquivo de disco são destinadas a finalidades maliciosas, disseram os pesquisadores.

A ID de desenvolvedor da Apple (Mastura Fenny, 2PVD64XRF3) foi reportada à Apple, que está em processo de revogação do certificado do desenvolvedor. Essa ID de desenvolvedor também foi usada para o adware OSX / Surfbuyer , levando os pesquisadores a especular que o grupo por trás dessa variedade de adwares também pode estar vinculado a esse malware.

“Como um dos arquivos foi assinado com um ID de Desenvolvedor da Apple… é evidente que as imagens de disco do OSX / Linker são obra dos desenvolvedores do adware OSX / Surfbuyer”, disseram eles.

Enquanto não há nenhuma correção para a vulnerabilidade Gatekeeper, investigadores sublinharam que uma mitigação está atualmente disponível que envolve a desativação de montagem automática. Essa mitigação é a seguinte:

  1. “Editar / etc / auto_master como root
  2. Comente a linha que começa com ‘/ net’
  3. Reinicialização

Crédito: threatpost.com