Angreifer zielen auf die Gatekeeper-Sicherheitslücke von macOS ab, um in OSX / Linker-Malware einzudringen

Der Intego-Sicherheitsforscher Joshua Long hat einen OSX / Linker-Virus analysiert. Es wurde entwickelt, um die kürzlich entdeckte Sicherheitslücke in macOS Gatekeeper zu beseitigen. Diese von Filippo Cavallarin gemeldete Sicherheitsanfälligkeit ermöglicht es einer aus dem Internet heruntergeladenen böswilligen Binärdatei, den Scanvorgang von Gatekeeper zu umgehen.

Der Forscher schrieb bei seiner Entdeckung im Mai: “Unter MacOS X Version <= 10.14.5 (zum Zeitpunkt des Schreibens) ist es möglich, Gatekeeper einfach zu umgehen, um nicht vertrauenswürdigen Code ohne Warnung oder ausdrückliche Erlaubnis des Benutzers auszuführen.”

Zu Ihrer Information ist es in der Absicht von Gatekeeper, sowohl die externen Laufwerke als auch die Netzwerkfreigaben als sicheren Ort zu akzeptieren, damit Apps reibungslos ausgeführt werden können. Mit diesen beiden Funktionen ist es jedoch möglich, den GateKeeper zu täuschen.

Wie funktioniert der auf Sicherheitslücken basierende Angriff?

Es wird angenommen, dass die Angreifer eine Zip-Datei erstellt und an ein Zielsystem gesendet haben. Benutzer laden es wegen mangelnder Kenntnisse herunter. Der Forscher stellte fest, dass der GateKeeper diese Dateien nicht scannen konnte, sodass Benutzer böswillige Symlinks ausführen konnten, mit denen Angreifer böswilligen Code auf dem System ausführen konnten.

Anfang Juni entdeckte das Malware-Forscherteam von Intego die Sicherheitsanfälligkeit, die darauf vorbereitet war, auf infiltrierende Malware zu testen.

Obwohl die Offenlegung der Sicherheitsanfälligkeit von Cavallarin ein komprimiertes ZIP-Archiv vorsieht, handelte es sich bei den von Intego analysierten Beispielen tatsächlich um Disk-Image-Dateien. Es scheint, dass Malware-Hersteller experimentiert haben, um herauszufinden, ob die Sicherheitslücke von Cavallarin auch bei Festplatten-Images funktioniert.

Dies ist der Rest, den die Malware-Entwickler versuchen, neue Methoden zu finden, um das MacOS zu umgehen.