ペトル・シュクタ 3 か月前、潜在的に有害なソフトウェアから macOS を保護するゲートキーパー機能に脆弱性が発見されました。最初の虐待の試みが現れるまでに時間はかかりませんでした。
Gatekeeper は Mac アプリケーションを制御するように設計されています。 Apple によって署名されていないソフトウェア その後、システムによって潜在的に危険であるとマークされます また、インストール前に追加のユーザー許可が必要です。
かもしれない 興味がありますか
アマヤ・トーマン しかし、セキュリティ専門家のフィリッポ・カヴァラリン氏は、アプリの署名チェック自体に問題があることを発見した。実際、ある方法で真正性チェックを完全に回避することができます。
現在の形式では、Gatekeeper は外部ドライブとネットワーク ストレージを「安全な場所」とみなします。これは、再度確認することなく、これらの場所でアプリケーションを実行できることを意味しており、ユーザーは簡単にだまされて、知らないうちに共有ドライブやストレージをマウントすることができます。そのフォルダー内のすべてのものは、Gatekeeper によって簡単にバイパスされます。
言い換えれば、署名された 90 つのアプリケーションが、他の多くの署名されていないアプリケーションにすぐに道を開くことができます。 Cavallarin 氏はセキュリティ上の欠陥を律儀に Apple に報告し、返答を XNUMX 日間待ちました。この期間を過ぎると、彼は間違いを公表する権利があり、最終的には公表しました。クパチーノの誰も彼のイニシアチブに反応しなかった。
この脆弱性を悪用する最初の試みにより、DMG ファイルが生成されます。
一方、セキュリティ会社 Intego は、まさにこの脆弱性を悪用する試みを発見しました。先週後半、マルウェア チームは、Cavallarin 氏が説明した方法を使用してマルウェアを配布しようとする試みを発見しました。
最初に説明されたバグでは ZIP ファイルが使用されていました。一方、新しい手法では、ディスク イメージ ファイルを使用して運試しをします。
ディスク イメージは、.dmg 拡張子が付いた ISO 9660 形式か、直接 Apple の .dmg 形式でした。一般に、ISO イメージでは拡張子 .iso、.cdr が使用されますが、macOS の場合は、.dmg (Apple Disk Image) の方がはるかに一般的です。マルウェアがこれらのファイルを使用しようとするのはこれが初めてではなく、明らかにマルウェア対策プログラムを回避するためです。
Intego は、6 月 6 日に VirusTotal によって収集された合計 4 つの異なるサンプルを収集しました。個々の結果間の違いは数時間程度であり、それらはすべてネットワーク パスによって NFS サーバーに接続されていました。
Adobe Flash Player を装った OSX/Surfbuyer アドウェア
専門家は、サンプルが OSX/Surfbuyer アドウェアに驚くほど似ていることを発見しました。これは、Web の閲覧中だけでなくユーザーを悩ませるアドウェア マルウェアです。
ファイルは Adobe Flash Player インストーラーとして偽装されていました。これは基本的に、開発者がユーザーに Mac にマルウェアをインストールするよう説得する最も一般的な方法です。 2 番目のサンプルは、開発者アカウント Mastura Fenny (64PVD3XRFXNUMX) によって署名されており、これは過去に何百もの偽の Flash インストーラーに使用されてきました。これらはすべて OSX/Surfbuyer アドウェアに分類されます。
これまでのところ、キャプチャされたサンプルは一時的にテキスト ファイルを作成するだけです。アプリケーションはディスク イメージ内で動的にリンクされていたため、サーバーの場所をいつでも簡単に変更できました。しかも、配布されたマルウェアを編集する必要はありません。したがって、作成者はテスト後に、マルウェアを組み込んだ「本番」アプリケーションをすでにプログラムしている可能性があります。 VirusTotal アンチマルウェアによって検出される必要はなくなりました。
かもしれない 興味がありますか
ダニエル・フルスカ Intego はこの開発者アカウントを Apple に報告し、証明書署名機関を取り消しました。
セキュリティを強化するため、ユーザーは主に Mac App Store からアプリをインストールし、外部ソースからアプリをインストールする場合はその起源を考慮することをお勧めします。
ズドルイ: 9to5Mac
