Les attaquants ciblent la vulnérabilité du portier de macOS pour s’infiltrer dans les logiciels malveillants OSX / Linker

Joshua Long, chercheur chez Intego Security, a analysé un virus OSX / Linker. Il est en cours de développement pour cibler la faille macOS Gatekeeper Security récemment découverte. Cette vulnérabilité, révélée par Filippo Cavallarin, permet à un fichier binaire malveillant téléchargé d’Internet de contourner le processus d’analyse de Gatekeeper.

Le chercheur a écrit lors de sa découverte en mai: «Sur MacOS X version <= 10.14.5 (au moment de l’écriture), il est possible de contourner facilement Gatekeeper afin d’exécuter du code non approuvé sans avertissement ni autorisation explicite de l’utilisateur».

Pour votre information, Gatekeeper a été conçu pour accepter les disques externes et les partages réseau comme un emplacement sûr, ce qui permet aux applications de fonctionner en douceur. Cependant, en mettant ces deux caractéristiques, il est possible de tromper le GateKeeper.

Comment fonctionne l’attaque basée sur la vulnérabilité?

On pense que les attaquants ont créé un fichier zip et l’ont envoyé à un système ciblé. Les utilisateurs le téléchargent par manque de connaissances. Le chercheur a constaté que GateKeeper ne pouvait pas analyser ces fichiers, ce qui permettait aux utilisateurs d’exécuter des liens symboliques malveillants permettant aux attaquants d’exécuter du code malveillant sur le système.

Au tout début du mois de juin, l’équipe de recherche sur les logiciels malveillants d’Intego a découvert la vulnérabilité prête à avoir été testée pour les logiciels malveillants infiltrants.

Bien que la divulgation de vulnérabilité de Cavallarin spécifie une archive compressée au format .zip, les exemples analysés par Intego étaient en fait des fichiers image sur disque. Il semble que les fabricants de logiciels malveillants fussent en train d’expérimenter pour voir si la vulnérabilité de Cavallarin fonctionnerait également avec les images de disque.

Les développeurs de logiciels malveillants essaient de découvrir de nouvelles méthodes pour contourner le MacOS.