Intego виявила чотири варіанти шкідливої програми під macOS, що експлуатують нещодавно виявлену вразливість у Gatekeeper
Intego виявила чотири варіанти шкідливої програми під macOS, що експлуатують нещодавно виявлену вразливість у Gatekeeper
Експерти компанії Intego виявили чотири варіанти шкідливої програми, що отримала назву OSX/Linker; вона використовує вразливість, яку наприкінці травня 2019 р. виявив експерт з інформаційної безпеки. Завдяки цій уразливості існує можливість запускати шкідливий код, використовуючи так звані «символічні посилання» - файли, в яких зберігаються дані про розташування інших файлів і папок, що зберігаються поза локальними ресурсами (наприклад, на зовнішніх мережевих ресурсах).
Операційна система macOS дозволяє автоматично монтувати зовнішні накопичувачі і не перевіряє на безпеку архівні файли, на які ведуть «символічні посилання». Таким чином, користувача можна обманом змусити натиснути за ними та звернутися до зовнішнього шкідливого контенту.
Виявлені семпли, мабуть, є «чорновими» варіантами експлойтів до вразливості. Їх автори використовували файли образів дисків - ISO 9660, перейменований в .dmg або "звичайний" .dmg-файл (стандартний файл інсталяції Apple). Всі чотири семпла були завантажені на VirusTotal 6 червня - і всі посилалися на конкретну програму на загальнодоступному NFS-сервері, йдеться у дослідженні компанії. Завантаження було здійснено анонімно.
Шкідливі програми, вивчені експертами, видавали себе за установник Adobe Flash Player.
На думку експертів Intego, за спробами експлуатації нової вразливості стоять ті самі люди, що створили «рекламний» шкідливість OSX/Surfbuyer. Під час створення OSX/Linker вони використовували ідентифікатор розробника Apple (Apple Developer ID).
