| 25 июня 2019 г. — 5:35 PT
Обнаруженная в прошлом месяце специалистом по безопасности уязвимость macOS Gatekeeper теперь была использована в том, что, по-видимому, является тестом компании-распространителя рекламного ПО.
Gatekeeper предназначен для обеспечения легитимности приложений Mac путем проверки того, что код подписан Apple. Любое приложение, не прошедшее эту проверку, не должно устанавливаться без того, чтобы пользователь не признал риск и не предоставил явное разрешение на продолжение…
Однако специалист по безопасности Филиппо Кавальярин в прошлом месяце обратил внимание на проблему с этим.
Функциональность Gatekeeper может быть полностью обойдена. В текущей реализации Gatekeeper считает как внешние диски, так и сетевые диски «безопасными местами». Это означает, что он позволяет любому приложению, содержащемуся в этих местах, запускаться без повторной проверки кода. Он далее объясняет, что пользователя можно «легко» обмануть, заставив подключить сетевой диск, и что всё, что находится в этой папке, может пройти Gatekeeper.
Таким образом, одно подписанное приложение может быть использовано для авторизации других неподписанных.
Кавальярин действовал ответственно, предоставив Apple 90 дней для устранения уязвимости перед ее раскрытием, но заявил, что компания этого не сделала и прекратила отвечать на его электронные письма.
Использование уязвимости macOS Gatekeeper
Компания Intego теперь сообщает, что она обнаружила пример использования этой уязвимости, предположительно в качестве теста компанией-распространителем рекламного ПО.
В начале прошлой недели команда исследователей вредоносных программ Intego обнаружила первое известное использование уязвимости Кавальярина, которое, по-видимому, было использовано — по крайней мере, сначала — в качестве теста для распространения вредоносных программ.
Исходный механизм, выявленный Кавальярином, был через zip-файл, но найденный образец вредоносного ПО вместо этого использовал образ диска.
Похоже, что создатели вредоносного ПО экспериментировали, чтобы увидеть, будет ли уязвимость Кавальярина работать и с образами дисков.
Файлы образов дисков представляли собой либо образ ISO 9660 с именем файла .dmg, либо файл .dmg в формате Apple Disk Image, в зависимости от образца. Обычно образ ISO имеет расширение файла .iso или .cdr, но файлы .dmg (Apple Disk Image) гораздо чаще используются для распространения программного обеспечения для Mac. (Кстати, несколько других образцов вредоносного ПО для Mac в последнее время использовали формат ISO, возможно, в слабой попытке избежать обнаружения антивирусным программным обеспечением).
Intego наблюдал четыре образца, которые были загружены в VirusTotal 6 июня, предположительно в течение нескольких часов после создания каждого образа диска, и все они ссылались на одно конкретное приложение на доступном из Интернета NFS-сервере.
Идентификация виновника
Intego заявляет, что есть веские основания подозревать, что тест был проведен разработчиками рекламного ПО OSX/Surfbuyer.
Образы дисков замаскированы под установщики Adobe Flash Player, что является одним из наиболее распространенных способов, которыми создатели вредоносных программ обманывают пользователей Mac, заставляя их устанавливать вредоносное ПО. Четвертый образ диска OSX/Linker подписан Apple Developer ID — Mastura Fenny (2PVD64XRF3), который использовался для подписи буквально сотен поддельных файлов Flash Player за последние 90 дней, связанных с семейством рекламного ПО OSX/Surfbuyer.
Компания заявляет, что обнаруженный образец не делал ничего, кроме создания временного текстового файла, что подтверждает идею о том, что это был всего лишь тест, и файлы с тех пор были удалены с сервера, но это может быстро измениться.
Поскольку .app внутри образов дисков динамически связан, он может изменяться на стороне сервера в любое время — без необходимости модификации самого образа диска. Таким образом, возможно, что те же образы дисков (или более новые версии, которые никогда не были загружены в VirusTotal) могли быть позже использованы для распространения приложения, которое фактически выполняло вредоносный код на Mac жертвы.
Intego сообщил об Apple Developer ID компании Apple, чтобы компания могла отозвать сертификат.
Как всегда, лучшая практика — загружать приложения только из Mac App Store и других источников, которым вы явно доверяете, отмечая, что эта уязвимость позволила бы злоумышленнику поставлять вредоносное ПО вместе с легитимным приложением.