Een nieuwe malware genaamd OSX/Linker maakt misbruik van een beveiligingslek in macOS Gatekeeper. Afgelopen mei ontdekte beveiligingsonderzoeker Filippo Cavallarin het lek, dat kwaadwillenden in staat stelt Gatekeeper-beveiligingen te omzeilen om schadelijke code uit te voeren.
MacOS Gatekeeper is een beveiligingssysteem dat apps gedownload van het internet scant en goedkeurt, alvorens deze uit te voeren. Door het beveiligingslek in Gatekeeper kunnen kwaadwillenden het scanproces van het beveiligingssysteem omzeilen.
De truc in deze zit in het inpakken van een symlink of symbolische link in een archiefbestand en het terugbrengen van de symlink-koppeling naar een door een aanvaller bestuurde Network File System (NFS)-server, aldus ZDNet. Cavallarin ontdekte dat Gatekeeper dit type bestanden niet scant, maar gebruikers wel gewoon in staat stelt om symlinks uit te voeren. In het geval van schadelijke symlinks, kunnen aanvallers schadelijke code uitvoeren op de macOS-systemen van slachtoffers.
Geen patch
Ruim een maand na de openbaarmaking door Cavallarin heeft Apple nog steeds geen patch uitgebracht. De beveiligingsonderzoeker bracht het lek naar buiten toen Apple na 90 dagen nog steeds niet had gereageerd. “Dit probleem moest volgens de leverancier worden behandeld op 15 mei 2019, maar Apple deed niets met mijn e-mails. Aangezien Apple op de hoogte is van mijn deadline om mijn informatie na 90 dagen openbaar te maken, maak ik deze nu openbaar”, aldus de beveiligingsmedewerker in een eerdere verklaring.
Ondertussen hebben kwaadwillenden de bug met succes ingezet voor de verspreiding van nieuwe Mac-malware, met de naam OSX/Linker. Joshua Long, chief security analyst bij Mac-beveiligingssoftwaremaker Intego deed de ontdekking. Volgens hem is de malware gekoppeld aan dezelfde hackersgroep, die de OSX/Surfbuyer-adware bestuurt. Bovendien zijn álle macOS-versies getroffen, inclusief de nieuwste 10.14.5.
Long merkte begin juni al meerdere malwaresamples op, die verschillende methoden testten om de bypass van Gatekeeper te misbruiken voor het verspreiden van malware. Ze leken in eerste instantie op tests, maar de samples waren wel in staat om computers aan te tasten. Ze waren bovendien ondertekend met certificaten die eerder werden gebruikt door de OSX/Surfbuyer adware-bende.
Alle testsamples waren vermomd als Adobe Flash Player-installatieprogramma’s, een veelvoorkomende manier waarop aanvallers Mac-gebruikers misleiden om malware te installeren. Volgens Long was er echt sprake van malware payload testing.
Misbruik Apple Developer ID
In het wild is nog geen echte OSX/Linker-malware waargenomen. Toch heeft Long Apple op de hoogte gesteld dat de OSX/Surfbuyer adware-bende een Apple Developer ID misbruikt om kwaadaardige OSX/Linker-samples te ondertekenen. Apple zou inmiddels bezig zijn het misbruikte certificaat in te trekken.
Long ontdekte eerder al malware die een bypass van Gatekeeper misbruikt om langs de verdedigingen van macOS te sluipen. In februari 2018 ontdekte Intego dat een nieuwe versie van de OSX/Shlayer-malware de techniek gebruikte om macOS-gebruikers te infecteren.
Gerelateerd: MacOS Gatekeeper-beveiligingen te omzeilen door beveiligingslek