Novo malware do Mac explora bug no GateKeeper



Novo malware do Mac explora bug no GateKeeper que a Apple não corrigiu. Pesquisadores de segurança cibernética da Intego estão alertando sobre a possível a exploração de uma vulnerabilidade de segurança não corrigida no recurso de segurança do MacOS Gatekeeper da Apple e o PoC que foi divulgados publicamente no final do mês passado.

A equipe da Intego descobriu quatro amostras do novo malware macOS no VirusTotal que aproveitam uma vulnerabilidade do GateKeeper para executar código não confiável no macOS sem exibir nenhum aviso aos usuários ou solicitar sua permissão explícita.

No entanto, o malware recém-descoberto, apelidado de OSX / Linker , não foi visto em estado natural até agora e parece estar em desenvolvimento. Embora as amostras aproveitem a falha que ignora o Gatekeeper sem patches, ele não faz o download de nenhum aplicativo mal-intencionado do servidor do invasor.

De acordo com Joshua Long, da Intego, o “criador de malware estava meramente realizando algum reconhecimento de testes de detecção“.


Um dos arquivos foi assinado com um Apple Developer ID, é evidente que as imagens de disco OSX / Linker são o trabalho dos desenvolvedores do adware OSX / Surfbuyer“, disse Long em um post no blog.

No entanto, como a amostra de malware vincula-se a um servidor remoto de onde ele faz o download do aplicativo não confiável, os invasores também podem distribuir outros malwares simplesmente substituindo o aplicativo de amostra definido por um aplicativo de malware em seu servidor.

Vulnerabilidade do Gatekeeper do macOS


O GateKeeper é um recurso de segurança integrado ao MacOS da Apple que reforça a assinatura de código e verifica os aplicativos baixados antes de permitir sua execução, ajudando os usuários a proteger seus sistemas contra malware e outros softwares mal-intencionados.

Isso significa que, se você baixar um aplicativo da Internet, o GateKeeper permitirá que ele seja executado sem nenhum aviso se tiver sido assinado com um certificado válido emitido pela Apple, caso contrário, você solicitará permissão ou negará a execução.

No entanto, o Gatekeeper foi projetado para tratar unidades externas (USB ou HDD) e compartilhamentos de rede como “locais seguros”, de onde os usuários podem executar qualquer aplicativo sem envolver as verificações e os avisos do GateKeeper.

Filippo Cavallarin, um pesquisador de segurança independente, no final do mês passado revelou publicamente uma maneira de explorar esse comportamento, combinando-o com dois outros recursos legítimos do sistema operacional macOS, que são:


- Os arquivos compactados podem conter links simbólicos apontando para um local arbitrário, incluindo terminais de automontagem

- O recurso de montagem automática no macOS podem montar automaticamente um compartilhamento de rede de um servidor remoto apenas acessando-o com um caminho “especial”, começando com “/ net /”. “


Até que a Apple corrija esse problema, o pesquisador aconselhou os administradores de rede a bloquear as comunicações NFS com endereços IP externos e, para usuários domésticos, é sempre importante não abrir anexos de email de uma fonte desconhecida, suspeita ou indigna de confiança


O que os usuários de Mac devem aprender com isso?


Os desenvolvedores de malware do Mac estão experimentando ativamente novas formas de contornar os mecanismos de proteção incorporados da Apple – e os invasores costumam ter sucesso ao fazer isso.


Infelizmente, é um mito que os Macs sejam inerentemente mais seguros que os PCs com Windows. Somente no mês passado, houve várias novas campanhas de malware para Mac. Portanto, os usuários de Mac devem tomar medidas para se proteger ativamente contra ameaças de malware.


Indicadores de compromisso


Se você for um administrador de sistemas e quiser procurar Macs potencialmente infectados em sua rede, poderá verificar se algum Mac está conectado ao seguinte endereço IP por meio de portas NFS (por exemplo, portas TCP ou UDP 111 ou 875 ou TCP porta 2049) entre 24 de maio e 18 de junho:

108.168.175 .167

Em termos mais gerais, se você souber que seus usuários nunca precisarão se conectar a servidores NFS voltados para o público, poderá procurar indicações de conexões recentes para qualquer endereço IP não privado em portas NFS, como um meio de encontrar potencialmente outras variações de ataque à rede.


Potenciais mitigações da vulnerabilidade 


Os administradores de rede que sabem que seus usuários nunca precisarão se conectar a um servidor NFS público podem bloquear sua rede para impedir comunicações NFS com endereços IP externos.


Para usuários domésticos, infelizmente não há uma solução simples para evitar esse tipo de ataque, até que a Apple lance uma atualização de segurança do macOS para mitigar a vulnerabilidade. Cavallarin descreve uma possível atenuação temporária (abra /etc/auto_master em um editor de texto e adicione ao início da linha que começa com /net), mas a implementação requer primeiro desabilitar  um recurso de segurança crítico do Mac chamado  System Integrity Protection  (SIP) que os usuários não devem desabilitar, a menos que irá reativá-lo logo em seguida. 


Desabilitar o SIP e modificar manualmente os arquivos protegidos são procedimentos que somente usuários experientes devem considerar tentar.


Fonte: The Hacker News

0 visualização
  • Twitter Ksecurity
  • Branca Ícone LinkedIn
  • White Facebook Icon

© 2019 by KSecurity - Todos os Direitos Reservados

FALE COM A K