Три месяца назад была обнаружена уязвимость в функции Gatekeeper, которая должна защищать macOS от потенциально вредоносного ПО. Вскоре появились первые попытки злоупотреблений.
Gatekeeper предназначен для управления приложениями Mac. Программное обеспечение, не подписанное Apple затем он помечается системой как потенциально опасный и перед установкой требуется дополнительное разрешение пользователя.
Однако эксперт по безопасности Филиппо Кавалларин обнаружил проблему с проверкой подписи приложения. Действительно, проверку подлинности определенным образом можно полностью обойти.
В своей текущей форме Gatekeeper рассматривает внешние диски и сетевые хранилища как «безопасные места». Это означает, что любое приложение может запускаться в этих местах без повторной проверки.Таким образом, пользователя можно легко обманом заставить неосознанно подключить общий диск или хранилище. Все, что находится в этой папке, затем легко обходит Gatekeeper.
Другими словами, одно подписанное приложение может быстро открыть путь для множества других, неподписанных. Кавалларин послушно сообщил Apple об уязвимости в системе безопасности, а затем ждал ответа 90 дней. По истечении этого срока он имеет право опубликовать ошибку, что он в итоге и сделал. Никто из Купертино на его инициативу не отреагировал.
Первые попытки эксплуатации уязвимости приводят к файлам DMG.
Тем временем охранная фирма Intego обнаружила попытки использовать именно эту уязвимость. В конце прошлой недели команда вредоносного ПО обнаружила попытку распространения вредоносного ПО методом, описанным Кавалларином.
Первоначально описанная ошибка использовала ZIP-файл. С другой стороны, новый метод пытается использовать файл образа диска.
Образ диска был либо в формате ISO 9660 с расширением .dmg, либо непосредственно в формате .dmg от Apple. Обычно образ ISO использует расширения .iso, .cdr, но для macOS гораздо чаще встречается .dmg (образ Apple Disk Image). Это не первый случай, когда вредоносное ПО пытается использовать эти файлы, по-видимому, чтобы обойти антивирусные программы.
Intego захватила в общей сложности четыре различных образца, собранных VirusTotal 6 июня. Разница между отдельными находками составляла порядка часов, и все они были связаны сетевым путем с сервером NFS.
Рекламное ПО OSX/Surfbuyer, замаскированное под Adobe Flash Player
Экспертам удалось обнаружить, что образцы поразительно похожи на рекламное ПО для OSX/Surfbuyer. Это рекламное вредоносное ПО, которое раздражает пользователей не только во время просмотра веб-страниц.
Файлы были замаскированы под установщики Adobe Flash Player. По сути, это наиболее распространенный способ, которым разработчики пытаются убедить пользователей установить вредоносное ПО на свой Mac. Четвертый образец был подписан учетной записью разработчика Mastura Fenny (2PVD64XRF3), которая в прошлом использовалась для сотен поддельных установщиков Flash. Все они подпадают под рекламное ПО OSX/Surfbuyer.
До сих пор захваченные образцы ничего не делали, а лишь временно создавали текстовый файл. Поскольку приложения были динамически связаны с образами дисков, расположение сервера можно было легко изменить в любой момент. И это без необходимости редактировать распространяемое вредоносное ПО. Поэтому вполне вероятно, что создатели после тестирования уже запрограммировали «производственные» приложения с содержащимся в них вредоносным ПО. Его больше не нужно было ловить антивирусной программой VirusTotal.
Intego сообщила Apple об этой учетной записи разработчика, чтобы отозвать ее центр подписи сертификатов.
В целях дополнительной безопасности пользователям рекомендуется устанавливать приложения преимущественно из Mac App Store и учитывать их происхождение при установке приложений из внешних источников.
Петр Шкута 
Амайя Томан 
Дэниел Грушка 