安全研究员Intego于本周指出,有一款新的Mac恶意程序OSX/Linker企图开采苹果尚未修补的Gatekeeper漏洞,尽管OSX/Linker目前只是在侦测能否攻陷该漏洞,但黑客随时可自远端将它变成真正的恶意程序。
此一漏洞是在今年5月由义大利的安全研究人员Filippo Cavallarin所揭露,他宣称苹果在macOS中用来侦测及封锁恶意程序的安全机制Gatekeeper,含有可被绕过的漏洞。
这是因为Gatekeeper把外部磁碟及网络分享视为安全区域,允许执行任何来自这两个安全区域的程序,只要利用macOS中的两个合法功能,就能成功绕过Gatekeeper的保护。
虽然Cavallarin在研究中是以ZIP档为例展开攻击,但OSX/Linker则试图以伪装成Adobe Flash Player安装程序的DMG档闯关。
截至今年6月6日为止,Intego已在VirusTotal上发现4个OSX/Linker样本,它们都与同一个NSF服务器有关,猜测来自同一个作者,追踪其来源则与广告程序OSX/Surfbuyer一致,而OSX/Surfbuyer的作者,亦是以打造数百个伪造的Flash Player档案闻名,并具备苹果开发人员ID。
苹果在收到Intego的研究报告后,已决定撤销该名开发人员的凭证。
Intego说,尽管OSX/Linker目前看来除了企图开采Gatekeeper之外,并未含有恶意档案,但存在于DMG档中的.app程序采用的是动态连结,意谓着它能自远端被变更,或者是有其它的OSX/Linker样本已被用来散布恶意程序。
不论如何,Intego对Mac用户提出了警告:「Mac比Windows电脑安全是个神话」过去一个月他们就发现好几个新的Mac恶意程序活动,Mac用户应该采取行动来保护自己,以避免受到恶意程序的威胁。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
