Sicherheitsforscher haben mit OSX/Linker eine neue Schadsoftware entdeckt. Diese nutzt eine von Apple noch nicht behobene Schwachstelle aus, mit der sich Gatekeeper umgehen lässt, der integrierte Malwareschutz von macOS. Die Lücke betrifft alle macOS-Versionen einschließlich der aktuellen Version 10.14.5 des Desktop-Betriebssystems.
Analysiert wurde OSX/Linker von Joshua Long, Chief Security Officer von Intego, das sich auf Sicherheitslösungen für macOS spezialisiert hat. In einem Blogeintrag berichtet er von Malwareproben, die Anfang Juni auftauchten und offenbar dazu dienten, konkrete Wege zur Umgehung von Apples Gatekeeper auszutesten.
Dabei eingesetzte Zertifikate verwiesen dabei auf eine Gruppe, die zuvor durch die Adware OSX/Surfbuyer aufgefallen war. Für bösartige Absichten sprach zudem, dass die präparierten Disk Images als Installer für Adobe Flash Player getarnt waren – eine der häufigsten Methoden von Malware-Autoren, Mac-Nutzer zur Installation von Malware zu verleiten.
Die zugrundeliegende Schwachstelle MacOS X GateKeeper Bypass wurde vom italienischen Sicherheitsforscher Filippo Cavallarin am 24. Mai enthüllt, nachdem Apple sie nicht wie zugesagt innerhalb von 90 Tagen behob. Das von ihm beschriebene Problem besteht darin, dass macOS von einem Netzwerk-Laufwerk heruntergeladene Anwendungen anders behandelt als Downloads aus dem Internet. Das erlaubt die Schaffung eines symbolischen Links („Symlink“) zu einer Anwendung auf einem vom Angreifer kontrollierten NFS-Server (Network File System), um dann ein ZIP-Archiv mit diesem Symlink zu schaffen und das Opfer zu dessen Download zu bewegen. Mit dem von Cavallarin kritisierten Ergebnis, dass die App nicht durch Apples Malwareschutz untersucht und blockiert wird.
Bei den von Intego untersuchten Proben zeigte sich, dass die Malware-Hersteller nicht nur mit einem ZIP-Archiv, sondern auch mit einem ISO-9660-Image mit der Dateiendung „.dmg“ sowie dem tatsächlichen Dateiformat Apple Disk Image (DMG) experimentierten. Noch sieht es danach aus, dass die Hintermänner bislang nur die Angriffsmöglichkeiten ausloten oder begrenzte und gezielte Angriffe durchführen. Dank dynamischer Verlinkung, warnt Intego jedoch, könnten die Angreifer aber jederzeit serverseitige Änderungen vornehmen – und eine App zu verteilen, die tatsächlich bösartigen Code auf den Macs der Opfer ausführt.
Neueste Kommentare
Noch keine Kommentare zu Neue Mac-Malware nutzt kürzlich entdeckte Zero-Day-Schwachstelle
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.