Uma vulnerabilidade não corrigida, descoberta no macOS Mojave no mês passado, permite que os invasores ignorem completamente o recurso de segurança do Gatekeeper. Infelizmente, agora ele foi explorado por uma empresa de adware no que foi chamado de teste na preparação de novos malwares para Mac..
Por contexto, o pesquisador Filippo Cavallarin descobriu recentemente (e relatou à Apple) uma supervisão de segurança no sistema operacional macOS Mojave que permitiria que um aplicativo não autorizado ignorasse as proteções do Gatekeeper. A vulnerabilidade tira vantagem do fato de o Gatekeeper considerar unidades externas e compartilhamentos de rede como locais seguros, permitindo que o malware seja lançado a partir desses locais sem a intervenção do Gatekeeper.
Os pesquisadores de segurança do Intego agora nos apontam para quatro imagens de disco, disfarçadas de instaladores do Adobe Flash Player, que foram carregadas por uma empresa de adware no VirusTotal. Os pesquisadores da Intego afirmam que este é um teste de preparação para a distribuição de novos malwares para Mac, chamados OSX / Linker, que tenta aproveitar a falha de dia zero acima mencionada na proteção de gatekeeper do macOS.
As quatro amostras, carregadas em 6 de junho poucas horas após a criação de cada imagem de disco, vinculam a um aplicativo agora removido em um servidor NFS acessível à Internet.
O Intego observa que o Install.app vinculado dinamicamente parecia ser um espaço reservado que não fazia nada além de criar um arquivo de texto temporário, mas que podia ser facilmente alterado no servidor a qualquer momento, sem que a imagem do disco precisasse ser modificada..
O Intego diz que, portanto, é possível que as mesmas imagens de disco recém-carregadas possam ter sido usadas posteriormente para distribuir um aplicativo que realmente executou código malicioso no Mac da vítima.
Um dos arquivos foi assinado com um ID de desenvolvedor da Apple, sugerindo que o teste foi criado pelos desenvolvedores do adware OSX / Surfbuyer. Ainda não se sabe se essas imagens de disco, ou subsequentes, podem ter sido usadas em ataques direcionados ou em pequena escala.
