En oöverträffad sårbarhet som upptäcktes i macOS Mojave förra månaden, tillåter angripare att helt och hållet kringgå säkerhetsfunktionen Gatekeeper. Tyvärr har det nu utnyttjats av ett adware-företag i det som har kallats ett test för att förbereda ny Mac-malware.
För sammanhanget upptäckte nyligen forskaren Filippo Cavallarin (och rapporterade till Apple) en säkerhetsövervakning i macOS Mojave-operativsystemet som skulle tillåta en falsk app att kringgå skyddet för portvakt. Sårbarheten drar nytta av det faktum att Gatekeeper betraktar externa enheter och nätverksdelningar som säkra platser, vilket gör att malware kan startas från dessa platser utan Gatekeepers ingripande.
Säkerhetsforskare vid Intego pekar nu på fyra diskbilder, förklädda som Adobe Flash Player-installatörer, som laddades upp av ett adware-företag till VirusTotal. Intego-forskare hävdar att detta är ett test som förberedelse för att distribuera ny Mac-skadlig programvara, kallad OSX / Linker, som försöker utnyttja ovannämnda nolldagars brist i macOS 'Gatekeeper-skydd.
De fyra samplen, laddade upp den 6 juni inom timmar efter skapandet av varje diskbild, länkar alla till en nu borttagen app på en Internet-tillgänglig NFS-server.
Intego noterar att den dynamiskt länkade Install.app tycktes vara en platshållare som inte gjorde mycket annat än att skapa en tillfällig textfil, men som lätt kunde ändras på serversidan när som helst utan att skivavbilden behövde ändras alls.
Intego säger att det därför är möjligt att samma eller nyligen uppladdade diskbilder senare kunde ha använts för att distribuera en app som faktiskt körde skadlig kod på offrets Mac.
En av filerna undertecknades med ett Apple Developer ID, vilket tyder på att testet skapades av utvecklarna av OSX / Surfbuyer-adware. Juryn är fortfarande ute på om dessa diskbilder eller efterföljande bilder kan ha använts i småskaliga eller riktade attacker.