Zavřít reklamu

Koncem  minulého měsíce jsme vás informovali o bezpečnostní chybě v nástroji GateKeeper v macOS. Ten slouží mimo jiné k tomu, aby zabránil instalaci softwaru, jehož kód nebyl podepsaný společností Apple. Chybu odhalil bezpečnostní expert Filippo s tím, že podle jeho zjištění umožňuje obejít bezpečnostní nastavení GateKeeperu. Apple se však dosud neměl k její nápravě a na Cavallarinovy e-maily přestala odpovídat. To však byla chyba.

Netrvalo dlouho a bezpečnostní firma Intego přišla s hlášením o případu využití zmíněné zranitelnosti. Tým společnosti Intego, zaměřující se na výzkum malwaru, odhalil případ distribuce malwaru ve fázi příprav. K distribuci mělo dojít za použití obrazu disku. Ten měl buďto formátu ISO 9660 nebo dmg. Dmg je běžný formát souborů Apple Disk Image, často používaný u softwaru, určeného pro Mac. Je zajímavé, že u malwaru pro Mac se často používá  spíše obraz disku ve formátu iso, zřejmě ve snaze obejít opatření antimalwarového softwaru.

Společnost Intego prozkoumala celkem čtyři vzorky malwaru, zachyceného programem VirusTotal počátkem června. K jednotlivým nálezům došlo v horizontu několika hodin a všechny vedly k jedné specifické aplikaci na NFS serveru. Podle společnosti Intego se s největší pravděpodobností jedná o adware OSX/Surfbuyer. Obrazy disku se na první pohled „tváří“ jako instalační soubory Adobe Flash Playeru. Mezi tvůrci malwaru se jedná o poměrně běžnou taktiku, jak do Maců dostat škodlivý sofwtare.

Zmíněné vzorky pouze vytvořily dočasný textový soubor. Vzhledem k tomu, že soubory *.app jsou v obrazech disků dynamicky propojené, může se kdykoliv snadno změnit jejich serverové umístění, aniž by bylo zapotřebí měnit obraz disku jako takový. Je tedy možné, že autoři již naprogramovali malware, který by v budoucnu nemusel být antimalwarem zachycen. Bezpečnostní experti proto doporučují instalovat aplikace výhradně z oficiální App Storu.

Gatekeeper FB

Související články

Dnes nejčtenější