Sicherheitsforscher haben mit OSX/Linker eine neue Schadsoftware entdeckt. Diese nutzt eine von Apple noch nicht behobene Schwachstelle aus, mit der sich Gatekeeper umgehen lässt, der integrierte Malwareschutz von macOS. Die Lücke betrifft alle macOS-Versionen einschließlich der aktuellen Version 10.14.5 des Desktop-Betriebssystems.
Analysiert wurde OSX/Linker von Joshua Long, Chief Security Officer von Intego, das sich auf Sicherheitslösungen für macOS spezialisiert hat. In einem Blogeintrag berichtet er von Malwareproben, die Anfang Juni auftauchten und offenbar dazu dienten, konkrete Wege zur Umgehung von Apples Gatekeeper auszutesten.
Dabei eingesetzte Zertifikate verwiesen dabei auf eine Gruppe, die zuvor durch die Adware OSX/Surfbuyer aufgefallen war. Für bösartige Absichten sprach zudem, dass die präparierten Disk Images als Installer für Adobe Flash Player getarnt waren – eine der häufigsten Methoden von Malware-Autoren, Mac-Nutzer zur Installation von Malware zu verleiten.
Die zugrundeliegende Schwachstelle MacOS X GateKeeper Bypass wurde vom italienischen Sicherheitsforscher Filippo Cavallarin am 24. Mai enthüllt, nachdem Apple sie nicht wie zugesagt innerhalb von 90 Tagen behob. Das von ihm beschriebene Problem besteht darin, dass macOS von einem Netzwerk-Laufwerk heruntergeladene Anwendungen anders behandelt als Downloads aus dem Internet. Das erlaubt die Schaffung eines symbolischen Links („Symlink“) zu einer Anwendung auf einem vom Angreifer kontrollierten NFS-Server (Network File System), um dann ein ZIP-Archiv mit diesem Symlink zu schaffen und das Opfer zu dessen Download zu bewegen. Mit dem von Cavallarin kritisierten Ergebnis, dass die App nicht durch Apples Malwareschutz untersucht und blockiert wird.
Bei den von Intego untersuchten Proben zeigte sich, dass die Malware-Hersteller nicht nur mit einem ZIP-Archiv, sondern auch mit einem ISO-9660-Image mit der Dateiendung „.dmg“ sowie dem tatsächlichen Dateiformat Apple Disk Image (DMG) experimentierten. Noch sieht es danach aus, dass die Hintermänner bislang nur die Angriffsmöglichkeiten ausloten oder begrenzte und gezielte Angriffe durchführen. Dank dynamischer Verlinkung, warnt Intego jedoch, könnten die Angreifer aber jederzeit serverseitige Änderungen vornehmen – und eine App zu verteilen, die tatsächlich bösartigen Code auf den Macs der Opfer ausführt.
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
