Une vulnérabilité non corrigée, découverte dans macOS Mojave le mois dernier, permet aux attaquants de contourner complètement la fonction de sécurité de Gatekeeper. Malheureusement, il est maintenant exploité par une société de logiciels publicitaires dans ce qu'on a appelé un test en préparation de nouveaux logiciels malveillants Mac.
Pour le contexte, le chercheur Filippo Cavallarin a récemment découvert (et signalé à Apple) une erreur de sécurité dans le système d'exploitation macOS Mojave qui permettrait à une application malveillante de contourner les protections du Gatekeeper. La vulnérabilité tire parti du fait que Gatekeeper considère les disques externes et les partages réseau comme des emplacements sûrs, permettant au malware d'être lancé à partir de ces emplacements sans l'intervention de Gatekeeper..
Les chercheurs en sécurité d'Intego nous indiquent maintenant quatre images de disque, déguisées en installateurs Adobe Flash Player, qui ont été téléchargées par une société de logiciels publicitaires sur VirusTotal. Les chercheurs d'Intego affirment qu'il s'agit d'un test en préparation pour la distribution de nouveaux logiciels malveillants Mac, appelés OSX / Linker, qui tentent de tirer parti de la faille zero-day susmentionnée dans la protection Gatekeeper de macOS.
Les quatre échantillons, téléchargés le 6 juin dans les heures suivant la création de chaque image disque, sont tous liés à une application désormais supprimée sur un serveur NFS accessible sur Internet.
Intego note que Install.app lié dynamiquement semblait être un espace réservé qui ne faisait pas grand-chose d'autre que de créer un fichier texte temporaire, mais qui pouvait facilement changer du côté du serveur à tout moment sans que l'image disque ait besoin d'être modifiée du tout.
Intego dit qu'il est donc possible que la même image ou les images disque nouvellement téléchargées aient pu plus tard être utilisées pour distribuer une application qui a réellement exécuté du code malveillant sur le Mac d'une victime.
L'un des fichiers a été signé avec un identifiant de développeur Apple, suggérant que le test a été créé par les développeurs du logiciel de publicité OSX / Surfbuyer. Le jury ne sait toujours pas si ces images de disque, ou les suivantes, peuvent avoir été utilisées dans des attaques à petite échelle ou ciblées.