Eine nicht gepatchte Sicherheitsanfälligkeit, die im letzten Monat in macOS Mojave entdeckt wurde, ermöglicht es Angreifern, die Sicherheitsfunktion von Gatekeeper vollständig zu umgehen. Leider wurde es jetzt von einem Adware-Unternehmen in einem sogenannten Test zur Vorbereitung neuer Mac-Malware ausgenutzt.
Für den Kontext entdeckte der Forscher Filippo Cavallarin kürzlich eine Sicherheitsüberprüfung im Betriebssystem macOS Mojave (und meldete dies Apple), die es einer betrügerischen App ermöglichen würde, den Schutz von Gatekeeper zu umgehen. Die Sicherheitsanfälligkeit macht sich die Tatsache zunutze, dass Gatekeeper externe Laufwerke und Netzwerkfreigaben als sichere Standorte ansieht, sodass Malware von diesen Standorten aus gestartet werden kann, ohne dass Gatekeeper eingreift.
Sicherheitsforscher bei Intego verweisen jetzt auf vier als Adobe Flash Player-Installer getarnte Datenträgerabbilder, die von einer Adware-Firma auf VirusTotal hochgeladen wurden. Intego-Forscher behaupten, dies sei ein Test zur Vorbereitung auf die Verbreitung neuer Mac-Malware namens OSX / Linker, mit dem versucht wird, den oben genannten Zero-Day-Fehler beim Schutz von macOS Gatekeeper zu nutzen.
Die vier Beispiele, die am 6. Juni innerhalb von Stunden nach der Erstellung der einzelnen Datenträgerabbilder hochgeladen wurden, sind alle mit einer jetzt entfernten App auf einem über das Internet zugänglichen NFS-Server verknüpft.
Intego merkt an, dass die dynamisch verknüpfte Install.app ein Platzhalter zu sein schien, der nur eine temporäre Textdatei erstellt hat, der sich aber jederzeit auf der Serverseite ändern kann, ohne dass das Festplatten-Image geändert werden muss.
Laut Intego ist es daher möglich, dass dieselben oder neu hochgeladene Datenträgerabbilder später zum Verteilen einer App verwendet wurden, die tatsächlich Schadcode auf dem Mac eines Opfers ausführte.
Eine der Dateien wurde mit einer Apple Developer ID signiert, was darauf hindeutet, dass der Test von den Entwicklern der OSX / Surfbuyer-Adware erstellt wurde. Die Jury ist sich noch nicht sicher, ob diese oder nachfolgende Disk-Images für kleinere oder gezielte Angriffe verwendet wurden.