Una vulnerabilidad sin parches, descubierta en macOS Mojave el mes pasado, permite a los atacantes eludir por completo la función de seguridad Gatekeeper. Desafortunadamente, ahora ha sido explotado por una compañía de adware en lo que se ha llamado una prueba en preparación del nuevo malware de Mac.
Para el contexto, el investigador Filippo Cavallarin descubrió recientemente (e informó a Apple) una supervisión de seguridad en el sistema operativo macOS Mojave que permitiría que una aplicación maliciosa eluda las protecciones de Gatekeeper. La vulnerabilidad aprovecha el hecho de que Gatekeeper considera las unidades externas y los recursos compartidos de red como ubicaciones seguras, lo que permite el lanzamiento de malware desde estas ubicaciones sin la intervención de Gatekeeper.
Los investigadores de seguridad de Intego ahora nos señalan cuatro imágenes de disco, disfrazadas de instaladores de Adobe Flash Player, que una empresa de adware subió a VirusTotal. Los investigadores de Intego afirman que esta es una prueba en preparación para distribuir el nuevo malware de Mac, llamado OSX / Linker, que intenta aprovechar la falla de día cero antes mencionada en la protección Gatekeeper de macOS.
Las cuatro muestras, cargadas el 6 de junio a las pocas horas de la creación de cada imagen de disco, se vinculan a una aplicación ahora eliminada en un servidor NFS con acceso a Internet.
Intego señala que Install.app, vinculado dinámicamente, parecía ser un marcador de posición que no hacía mucho más que crear un archivo de texto temporal, pero que podía cambiar fácilmente en el lado del servidor en cualquier momento sin necesidad de modificar la imagen del disco..
Intego dice que, por lo tanto, es posible que las mismas imágenes de disco recién cargadas se hayan utilizado más tarde para distribuir una aplicación que realmente ejecutó código malicioso en la Mac de la víctima.
Uno de los archivos se firmó con una ID de desarrollador de Apple, lo que sugiere que la prueba fue creada por los desarrolladores del adware OSX / Surfbuyer. El jurado aún no sabe si estas imágenes de disco, o las posteriores, pueden haber sido utilizadas en ataques a pequeña escala o dirigidos.
