Спецпроекты

Безопасность Пользователю Стратегия безопасности Техника

Неизвестными злоумышленниками написан первый троян, умеющий обходить системную защиту macOS. Видео

Выявлено несколько «черновых» эксплойтов для найденной в конце мая уязвимости, позволяющей обходить защиту Gatekeeper и запускать вредоносный код на компьютере Apple.

Дело времени

Неизвестные злоумышленники разрабатывают вредонос под macOS, эксплуатирующий недавно обнаруженную уязвимость в Gatekeeper, одном из ключевых защитных инструментов операционной системы Apple.

Эксперты компании Intego обнаружили четыре варианта вредоносной программы, получившей название OSX/Linker; она использует уязвимость, которую в конце мая 2019 г. выявил эксперт по информационной безопасности Филиппо Кавальярин (Filippo Cavallarin). Благодаря этой уязвимости существует возможно запускать вредоносный код, используя так называемые «символические ссылки» - файлы, в которых сохраняются данные о местоположении других файлов и папок, хранящихся вне локальных ресурсов (например, на внешних сетевых ресурсах).

Операционная система macOS позволяет автоматически монтировать внешние накопители, и не проверяет на безопасность архивные файлы, на которые ведут «символические ссылки». Таким образом, пользователя можно обманом заставить кликнуть по ним и обратиться к внешнему вредоносному контенту.

Обход защиты macOS

Кавальярин сообщил о проблеме в Apple 22 февраля 2019 г., но компания не отреагировала ни в течение 90 дней, ни после.

Черновики

Обнаруженные сэмплы, по-видимому, представляют собой «черновые» варианты эксплойтов к уязвимости. Их авторы использовали файлы образов дисков - ISO 9660, переименованный в .dmg или «обычный» .dmg-файл (стандартный установочный файл Apple). Все четыре сэмпла были загружены на VirusTotal 6 июня - и все ссылались на конкретное приложение на общедоступном NFS-сервере, говорится в исследовании компании. Загрузка была произведена анонимно.

Вредоносные программы, изученные экспертами, выдавали себя за установщик Adobe Flash Player.

По мнению экспертов Intego, за попытками эксплуатации новой уязвимости стоят те же люди, что создали «рекламный» вредонос OSX/Surfbuyer. При создании OSX/Linker они использовали идентификатор разработчика Apple (Apple Developer ID).

«В принципе, с самого начала было понятно, что попытки эксплуатации этой уязвимости не заставят себя ждать, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Остаётся надеяться, что теперь Apple отреагирует должным образом, отзовёт сертификат, ставший средством злоупотреблений, и исправит уязвимость - до того, как рабочие эксплойты к ней распространятся по Сети».

Роман Георгиев

Короткая ссылка