سه ماه پیش، یک آسیب پذیری در عملکرد Gatekeeper کشف شد که قرار است از macOS در برابر نرم افزارهای بالقوه مضر محافظت کند. طولی نکشید که اولین تلاش ها برای سوء استفاده ظاهر شد.
با این حال، فیلیپو کاوالارین، متخصص امنیتی، مشکلی را در بررسی امضای خود اپلیکیشن کشف کرده است. در واقع، بررسی اصالت را می توان به روشی کاملاً دور زد.
در شکل فعلی، Gatekeeper درایوهای خارجی و ذخیره سازی شبکه را به عنوان "مکان های امن" در نظر می گیرد. این بدان معناست که به هر برنامهای اجازه میدهد بدون بررسی مجدد در این مکانها اجرا شود. به این ترتیب، کاربر میتواند به راحتی فریب داده شود تا یک درایو مشترک یا فضای ذخیرهسازی را نصب کند. سپس هر چیزی در آن پوشه به راحتی توسط Gatekeeper دور می زند.
به عبارت دیگر، یک اپلیکیشن امضا شده می تواند به سرعت راه را برای بسیاری از برنامه های بدون امضای دیگر باز کند. کاوالارین به درستی این نقص امنیتی را به اپل گزارش داد و سپس 90 روز منتظر پاسخ ماند. پس از این مدت، او حق دارد خطا را منتشر کند که در نهایت انجام داد. هیچ کس از کوپرتینو به ابتکار او پاسخ نداد.
اولین تلاش ها برای سوء استفاده از این آسیب پذیری منجر به فایل های DMG می شود
در همین حال، شرکت امنیتی Intego تلاش هایی را برای سوء استفاده از این آسیب پذیری کشف کرده است. اواخر هفته گذشته، تیم بدافزار تلاشی را برای توزیع بدافزار با استفاده از روشی که توسط Cavallarin توصیف شده بود، کشف کرد.
اشکالی که در ابتدا توضیح داده شد از یک فایل ZIP استفاده می کرد. از طرف دیگر، تکنیک جدید شانس خود را با فایل تصویر دیسک امتحان می کند.
تصویر دیسک یا با فرمت ISO 9660 با پسوند dmg. یا مستقیماً با فرمت .dmg اپل بود. معمولاً یک تصویر ISO از پسوندهای .iso، .cdr استفاده می کند، اما برای macOS، .dmg (Apple Disk Image) بسیار رایج تر است. این اولین بار نیست که بدافزار سعی می کند از این فایل ها استفاده کند، ظاهراً برای جلوگیری از برنامه های ضد بدافزار.
Intego در مجموع چهار نمونه مختلف را که توسط VirusTotal در 6 ژوئن گرفته شده بود، ضبط کرد. تفاوت بین یافته های فردی در ترتیب ساعت ها بود و همه آنها توسط یک مسیر شبکه به سرور NFS متصل شدند.
ابزارهای تبلیغاتی OSX/Surfbuyer که به عنوان Adobe Flash Player مبدل شده اند
کارشناسان موفق شدند متوجه شوند که نمونه ها به طور قابل توجهی شبیه به ابزار تبلیغاتی OSX/Surfbuyer هستند. این بدافزار تبلیغاتی است که کاربران را نه تنها در هنگام مرور وب آزار می دهد.
فایل ها به عنوان نصب کننده های Adobe Flash Player پنهان شده بودند. این اساسا رایج ترین روشی است که توسعه دهندگان سعی می کنند کاربران را متقاعد کنند که بدافزار را روی مک خود نصب کنند. نمونه چهارم توسط حساب توسعه دهنده Mastura Fenny (2PVD64XRF3) امضا شد که در گذشته برای صدها نصب کننده جعلی فلش استفاده شده است. همه آنها تحت ابزارهای تبلیغاتی OSX/Surfbuyer قرار می گیرند.
تا کنون، نمونه های گرفته شده هیچ کاری جز ایجاد موقت یک فایل متنی انجام نداده اند. از آنجا که برنامه ها به صورت پویا در تصاویر دیسک پیوند داده شده بودند، تغییر مکان سرور در هر زمان آسان بود. و این بدون نیاز به ویرایش بدافزار توزیع شده. بنابراین این احتمال وجود دارد که سازندگان، پس از آزمایش، قبلاً برنامه های "تولید" را با بدافزارهای موجود برنامه ریزی کرده باشند. دیگر لازم نیست که توسط ضد بدافزار VirusTotal دستگیر شود.
پتر شوتا 
آمایا تومان 
دانیل هروسکا 