Una vulnerabilità senza patch, scoperta in macOS Mojave il mese scorso, consente agli aggressori di eludere completamente la funzionalità di sicurezza di Gatekeeper. Sfortunatamente, ora è stato sfruttato da una società di adware in quello che è stato chiamato un test in preparazione del nuovo malware per Mac.
Per il contesto, il ricercatore Filippo Cavallarin ha recentemente scoperto (e riferito ad Apple) una supervisione della sicurezza nel sistema operativo macOS Mojave che avrebbe permesso a un'app canaglia di aggirare le protezioni di Gatekeeper. La vulnerabilità sfrutta il fatto che Gatekeeper considera le unità esterne e le condivisioni di rete come posizioni sicure, consentendo il lancio di malware da queste posizioni senza l'intervento di Gatekeeper.
I ricercatori della sicurezza di Intego ora ci indicano quattro immagini del disco, mascherate da installatori di Adobe Flash Player, che sono state caricate da un'azienda di adware su VirusTotal. I ricercatori di Intego sostengono che si tratta di un test in preparazione per la distribuzione di nuovo malware per Mac, chiamato OSX / Linker, che tenta di sfruttare il suddetto difetto zero-day nella protezione di gatekeeper di macOS.
I quattro esempi, caricati il 6 giugno a poche ore dalla creazione di ogni immagine del disco, si collegano tutti a un'app ora rimossa su un server NFS accessibile da Internet.
Intego osserva che Install.app collegato in modo dinamico sembrava essere un segnaposto che non faceva molto altro che creare un file di testo temporaneo, ma che poteva facilmente cambiare sul lato server in qualsiasi momento senza che l'immagine del disco dovesse essere modificata.
Intego afferma che è quindi possibile che le stesse immagini del disco o appena caricate possano essere state successivamente utilizzate per distribuire un'app che ha effettivamente eseguito codice dannoso sul Mac di una vittima.
Uno dei file è stato firmato con un ID sviluppatore Apple, suggerendo che il test è stato creato dagli sviluppatori dell'adware OSX / Surfbuyer. La giuria non ha ancora chiarito se queste immagini del disco, o successive, possano essere state utilizzate in attacchi su piccola scala o mirati.