 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
18 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Авторы OSX/Linker создали эксплойт к недавно обнародованной уязвимости, которую Apple еще не пропатчила.
Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчена.
Новый способ обхода Gatekeeper обнаружил и недавно обнародовал исследователь из компании Segment Филиппо Кавалларин (Filippo Cavallarin). Выявленная им уязвимость позволяет выполнить вредоносное приложение на macOS с помощью архивного файла, содержащего символьную ссылку (symlink) на исполняемый код во внешнем хранилище. Шансы на успех велики, так как macOS автоматически подключает сетевые носители, а Gatekeeper слепо доверяет таким расположениям.
Уязвимости подвержены все сборки macOS вплоть до 10.14.5 включительно. Кавалларин сообщил в Apple о проблеме еще в феврале, однако исправлений так и не последовало.
О появлении вредоносного ПО, нацеленного на использование этого упущения, исследователи из Intego узнали в начале июня, когда нашли на Virus Total четыре файла в формате .dmg с образами диска разных стандартов. Все образцы были только что загружены анонимами и оказались связанными с одним и тем же приложением Install.app на открытом NFS-сервере в облаке IBM.
На момент проведения анализа инсталлятор уже удалили с хоста, там остались лишь фрагменты некоторых файлов. Тем не менее, эксперты убеждены, что их находка вредоносна. Во-первых, все обнаруженные ими dmg-файлы были замаскированы под установщик Adobe Flash Player, а это весьма распространенный камуфляж для macOS-зловредов. Во-вторых, один из образов диска был подписан сертификатом разработчика Apple, который также используют создатели рекламного ПО Surfbuyer, объявившегося в Интернете в конце прошлого года. Apple уже знает о злоупотреблениях и пытается отозвать скомпрометированный сертификат.
Судя по всему, новый macOS-зловред пока находится в стадии разработки и был загружен на Virus Total для проверки на обнаружение антивирусами. Авторы OSX/Linker также изменили схему PoC-атаки, которую опубликовал Кавалларин, но эксплойт еще не опробовали. В дикой природе OSX/Linker не замечен, однако исследователи убеждены, что вирусописателям в скором времени удастся осуществить свой замысел и выпустить зловредный продукт на просторы Интернета.
Вредоносным программам и ранее случалось с успехом обходить проверки Gatekeeper. Наглядный пример тому — дроппер Shlayer, загружающий на macOS программы для принудительного показа рекламы. Зловред тоже выдает себя за Adobe Flash Player и после обновления научился обманывать Gatekeeper с помощью легитимной подписи разработчика. Примерно в то же время злоумышленники попытались обойти сторожа macOS, внедрив зловредный инсталлятор в дистрибутив Little Snitch.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
