Hai tres meses, descubriuse unha vulnerabilidade na función Gatekeeper, que se supón que protexe macOS de software potencialmente daniño. Non tardaron en aparecer os primeiros intentos de abuso.
Non obstante, o experto en seguridade Filippo Cavallarin descubriu un problema coa propia verificación de sinatura da aplicación. De feito, a verificación de autenticidade pódese ignorar por completo de certa maneira.
Na súa forma actual, Gatekeeper considera as unidades externas e o almacenamento de rede como "localizacións seguras". Isto significa que permite que calquera aplicación se execute nestas localizacións sen comprobar de novo. Deste xeito, o usuario pode ser facilmente enganado para que, sen sabelo, monte unha unidade ou almacenamento compartido. Gatekeeper evita facilmente calquera cousa que se atope nese cartafol.
Noutras palabras, unha única aplicación asinada pode abrir rapidamente o camiño para moitas outras sen asinar. Cavallarin informou debidamente a falla de seguridade a Apple e despois esperou 90 días para recibir unha resposta. Transcorrido este prazo, ten dereito a publicar o erro, que finalmente fixo. Ninguén de Cupertino respondeu á súa iniciativa.
Os primeiros intentos de explotar a vulnerabilidade levan a ficheiros DMG
Mentres tanto, a empresa de seguridade Intego descubriu intentos de explotar exactamente esta vulnerabilidade. A finais da semana pasada, o equipo de malware descubriu un intento de distribuír o malware mediante o método descrito por Cavallarin.
O erro descrito orixinalmente utilizou un ficheiro ZIP. A nova técnica, por outra banda, proba sorte cun ficheiro de imaxe de disco.
A imaxe do disco estaba en formato ISO 9660 cunha extensión .dmg ou directamente no formato .dmg de Apple. Normalmente, unha imaxe ISO usa as extensións .iso, .cdr, pero para macOS, .dmg (Imaxe de disco de Apple) é moito máis común. Non é a primeira vez que o malware intenta utilizar estes ficheiros, ao parecer para evitar programas antimalware.
Intego capturou un total de catro mostras diferentes capturadas por VirusTotal o 6 de xuño. A diferenza entre os achados individuais estaba na orde de horas, e todos estaban conectados por unha ruta de rede ao servidor NFS.
Adware OSX/Surfbuyer disfrazado de Adobe Flash Player
Os expertos conseguiron descubrir que as mostras son sorprendentemente similares ao adware OSX/Surfbuyer. Este é un malware de adware que molesta aos usuarios non só mentres navegan pola web.
Os ficheiros estaban disfrazados de instaladores de Adobe Flash Player. Esta é basicamente a forma máis común na que os desenvolvedores intentan convencer aos usuarios de que instalen malware no seu Mac. A cuarta mostra foi asinada pola conta de desenvolvedor Mastura Fenny (2PVD64XRF3), que se utilizou para centos de instaladores de Flash falsos no pasado. Todos caen baixo adware OSX/Surfbuyer.
Ata agora, as mostras capturadas non fixeron máis que crear temporalmente un ficheiro de texto. Dado que as aplicacións estaban ligadas de forma dinámica nas imaxes do disco, era fácil cambiar a localización do servidor en calquera momento. E iso sen ter que editar o malware distribuído. Polo tanto, é probable que os creadores, despois das probas, xa programasen aplicacións de "produción" con malware contido. Xa non tiña que ser capturado polo programa antimalware VirusTotal.
Intego informou a Apple desta conta de programador para que lle revogara a súa autoridade de firma de certificados.
Para maior seguridade, recoméndase aos usuarios que instalen aplicacións principalmente desde a Mac App Store e que pensen na súa orixe ao instalar aplicacións de fontes externas.
Petr Škuta 
Amaya Toman 
Daniel Hruska 