安全业者Intego本周指出,有一个新的Mac恶意软件OSX/Linker试图利用Apple未修补的Gatekeeper漏洞。尽管OSX/Linker目前正在检测它是否可以危及漏洞,但黑客可能随时都在远端把它变成真正的恶意软件。
今年5月意大利安全研究员Filippo Cavallarin透露了这个漏洞,他声称Apple检测和阻止MacOS中的恶意程序的安全机制 Gatekeeper包含可以绕过的漏洞。
这是因为Gatekeeper将外部磁盘和网络共享视为安全区域,允许通过在macOS中使用两个合法功能来成功绕过这两个安全区域中的任何程序。
虽然Cavalartin在研究中使用ZIP文件作为示例,但OSX/Linker试图使用伪装成Adobe Flash Player安装程序的DMG文件。
截至今年6月6日,Intego在VirusTotal上发现了四个OSX/Linker样本,所有这些样本都与同一个NSF服务器有关。猜测来自同一作者,并且跟踪来源的方式与广告计划OSX/Surfbuyer相同。 OSX/Surfbuyer的作者也因使用Apple Developer ID创建数百个伪造的Flash Player文件而闻名。
在收到Intego的研究报告后,Apple决定撤销开发人员的证书。
Intego表示虽然OSX/Linker除了试图挖掘Gatekeeper之外目前还不包含恶意文件,但DMG文件中存在的.app程序使用动态链接,这意味着它可以从远端更改。或者还有其他OSX/Linker示例已用于分发恶意软件。
无论如何,Intego警告Mac用户“Mac比Windows计算机安全更安全”。在过去的一个月里,仲博爱心之家发现了几个新的Mac恶意软件活动。 Mac用户应采取措施保护自己免受恶意程序的侵害威胁。