Há três meses, foi descoberta uma vulnerabilidade na função Gatekeeper, que supostamente protege o macOS de software potencialmente prejudicial. Não demorou muito para que surgissem as primeiras tentativas de abuso.
No entanto, o especialista em segurança Filippo Cavallarin descobriu um problema na própria verificação de assinatura do aplicativo. Na verdade, a verificação de autenticidade pode ser completamente contornada de uma certa maneira.
Na sua forma atual, o Gatekeeper considera unidades externas e armazenamento de rede como “locais seguros”. Isso significa que ele permite que qualquer aplicativo seja executado nesses locais sem verificar novamente. Dessa forma, o usuário pode ser facilmente induzido a montar, sem saber, uma unidade ou armazenamento compartilhado. Qualquer coisa nessa pasta é facilmente ignorada pelo Gatekeeper.
Em outras palavras, um único aplicativo assinado pode rapidamente abrir caminho para muitos outros não assinados. Cavallarin relatou obedientemente a falha de segurança à Apple e esperou 90 dias por uma resposta. Após esse período, ele tem o direito de publicar o erro, o que acabou fazendo. Ninguém de Cupertino respondeu à sua iniciativa.
As primeiras tentativas de explorar a vulnerabilidade levam a arquivos DMG
Enquanto isso, a empresa de segurança Intego descobriu tentativas de explorar exatamente esta vulnerabilidade. No final da semana passada, a equipe de malware descobriu uma tentativa de distribuir o malware usando o método descrito por Cavallarin.
O bug descrito originalmente usava um arquivo ZIP. A nova técnica, por outro lado, tenta a sorte com um arquivo de imagem de disco.
A imagem do disco estava no formato ISO 9660 com extensão .dmg ou diretamente no formato .dmg da Apple. Normalmente, uma imagem ISO usa as extensões .iso, .cdr, mas para macOS, .dmg (Apple Disk Image) é muito mais comum. Não é a primeira vez que um malware tenta usar esses arquivos, aparentemente para evitar programas antimalware.
O Intego capturou um total de quatro amostras diferentes capturadas pelo VirusTotal em 6 de junho. A diferença entre as descobertas individuais foi da ordem de horas, e todas elas estavam conectadas por um caminho de rede ao servidor NFS.
Adware OSX/Surfbuyer disfarçado de Adobe Flash Player
Os especialistas conseguiram descobrir que as amostras são surpreendentemente semelhantes ao adware OSX/Surfbuyer. Este é um malware adware que incomoda os usuários não apenas enquanto navegam na web.
Os arquivos estavam disfarçados como instaladores do Adobe Flash Player. Esta é basicamente a maneira mais comum pela qual os desenvolvedores tentam convencer os usuários a instalar malware em seus Macs. A quarta amostra foi assinada pela conta de desenvolvedor Mastura Fenny (2PVD64XRF3), que já foi usada por centenas de falsos instaladores de Flash no passado. Todos eles se enquadram no adware OSX/Surfbuyer.
Até agora, as amostras capturadas não fizeram nada além de criar temporariamente um arquivo de texto. Como os aplicativos estavam vinculados dinamicamente nas imagens de disco, era fácil alterar a localização do servidor a qualquer momento. E isso sem precisar editar o malware distribuído. É, portanto, provável que os criadores, após testes, já tenham programado aplicações de “produção” com malware contido. Ele não precisava mais ser capturado pelo antimalware VirusTotal.
A Intego relatou esta conta de desenvolvedor à Apple para que sua autoridade de assinatura de certificado fosse revogada.
Para maior segurança, os usuários são aconselhados a instalar aplicativos principalmente da Mac App Store e a pensar em sua origem ao instalar aplicativos de fontes externas.
Petr Škuta 
Amaya Toman 
Daniel Hruska 