Un malware sfrutta una vulnerabilità di Gatekeeper macOS non ancora risolta da Apple

Una vulnerabilità di macOS individuata a maggio e non ancora risolta da Apple, ha già suscitato l'interesse di cybercriminali che studiano nuovi modi per sfruttare la falla.

Individuate vulnerabilità che permettono di bloccare in remoto server Linux e FreeBSD

È stato individuato nuovo malware denominato OSX/Linker e questo a quanto pare sfrutta la vulnerabilità nel Gatekeeper (il sistema di autenticazione delle applicazioni) di macOS individuata a maggio di quest’anno da Filippo Cavallarin.

Il malware in questione sfrutta un collegamento simbolico (symlink) mascherato all’interno di un archivio compresso.

macOS non esegue controlli sui symlinks prima della loro creazione permettendo all’utente che monta una cartella di rete di scompattare un file che, se modificato ad hoc, può teoricamente eseguire un’app malevola senza nessuna indicazione da parte del Gatekeeper.

Il ricercatore Joshua Long, Chief Security Analyst di Intego, azienda specializzata in software di sicurezza per Mac, riferisce di avere individuato campioni di malware dai quali si evince che cybercriminali stanno tentando di sfruttare la vulnerabilità individuata da Cavallarin.

I malware dei quali riferisce il ricercatore di Intego sembrano al momento dei semplici test ma sono firmati con certificati usati da cyber criminali che li hanno usati in altre occasioni per la diffusione di un diverso malware.

I test con questo malware denominato “OSX/Linker” si presentano in apparenza come installer per Adobe Flash Player (tipico modo per distribuire malware agli utenti meno attenti); non si segnalano al momento diffusioni ma, come sempre, bisogna prestare attenzione quando si scaricano software da siti web sconosciuti.

Individuto un malware che sfrutta una vulnerabilità di macOS non ancora risolta da Apple
Malware distribuiti come presunti Flash Player di Adobe, un classico trucco per ingannare i meno esperti

Long riferisce di avere avvisato Apple dell’abuso di un ID sviluppatore usato per firmare app malevole e la Casa di Cupertino probabilmente ha già revocato il certificato digitale che abilita l’attendibilità dello sviluppatore. Protezioni specifiche dovrebbero arrivare con nuovi aggiornamenti di sicurezza di macOS.

A questo indirizzo la nostra guida su come tenere il Mac al sicuro.