Door een niet-gepatchte kwetsbaarheid, vorige maand ontdekt in macOS Mojave, kunnen aanvallers de beveiligingsfunctie van de Poortwachter volledig omzeilen. Helaas wordt het nu uitgebuit door een adwarebedrijf in een zogenaamde test ter voorbereiding op nieuwe Mac-malware.
Voor de context ontdekte onderzoeker Filippo Cavallarin onlangs (en rapporteerde aan Apple) een veiligheidstoezicht in het macOS Mojave-besturingssysteem waarmee een frauduleuze app Gatekeeper-beveiligingen kon omzeilen. Het beveiligingslek maakt gebruik van het feit dat Gatekeeper externe schijven en netwerkshares beschouwt als veilige locaties, waardoor malware vanaf deze locaties kan worden gestart zonder de tussenkomst van Gatekeeper.
Beveiligingsonderzoekers van Intego wijzen ons nu op vier schijfkopieën, vermomd als Adobe Flash Player-installatieprogramma's, die door een adware-bedrijf zijn geüpload naar VirusTotal. Intego-onderzoekers beweren dat dit een test is ter voorbereiding op de distributie van nieuwe Mac-malware, OSX / Linker genaamd, die probeert de eerder genoemde zero-day-fout in de Gatekeeper-beveiliging van macOS te benutten.
De vier voorbeelden, geüpload op 6 juni binnen enkele uren na het maken van elke schijfkopie, linken allemaal naar een nu verwijderde app op een voor internet toegankelijke NFS-server.
Intego merkt op dat de dynamisch gekoppelde Install.app een tijdelijke aanduiding leek te zijn die niet veel anders deed dan een tijdelijk tekstbestand maken, maar dat aan de serverzijde op elk moment gemakkelijk kon veranderen zonder dat de schijfkopie helemaal moest worden gewijzigd.
Intego zegt dat het daarom mogelijk is dat dezelfde of nieuw geüploade schijfkopieën later zouden kunnen zijn gebruikt om een app te verspreiden die daadwerkelijk schadelijke code op de Mac van een slachtoffer heeft uitgevoerd.
Een van de bestanden werd ondertekend met een Apple Developer ID, wat suggereert dat de test is gemaakt door de ontwikkelaars van de OSX / Surfbuyer adware. De jury is er nog steeds niet uit of deze schijfkopieën, of volgende, mogelijk zijn gebruikt voor kleinschalige of gerichte aanvallen.
