安全企业Intego于本周指出,有一款新的Mac恶意程序OSX/Linker企图开采苹果尚未修补的Gatekeeper漏洞,尽管OSX/Linker目前只是在侦测能否攻陷该漏洞,但黑客随时可自远程将它变成真正的恶意程序。
该漏洞是在今年5月由意大利的安全研究人员Filippo Cavallarin所披露,他宣称苹果在macOS中用来侦测及封锁恶意程序的安全机制Gatekeeper,含有可被绕过的漏洞。
这是因为Gatekeeper把外部磁盘及网络分享视为安全区域,允许执行任何来自这两个安全区域的程序,只要利用macOS中的两个合法功能,就能成功绕过Gatekeeper的保护。
虽然Cavallarin在研究中是以ZIP档为例展开攻击,但OSX/Linker则试图以伪装成Adobe Flash Player安装程序的DMG档闯关。
截至今年6月6日为止,Intego已在VirusTotal上发现4个OSX/Linker样本,它们都与同一个NSF服务器有关,猜测来自同一个作者,关注其来源则与广告程序OSX/Surfbuyer一致,而OSX/Surfbuyer的作者,也是以打造数百个伪造的Flash Player文件闻名,并具备苹果开发人员ID。
苹果在收到Intego的研究报告后,已决定撤销该名开发人员的凭证。
Intego说,尽管OSX/Linker目前看来除了企图开采Gatekeeper之外,并未含有恶意文件,但存在于DMG档中的.app程序采用的是动态连接,意味着它能自远程被变更,或者是有其它的OSX/Linker样本已被用来传播恶意程序。
不论如何,Intego对Mac用户提出了警告:“Mac比Windows计算机安全是个神话”过去一个月他们就发现好几个新的Mac恶意程序活动,Mac用户应该采取行动来保护自己,以避免受到恶意程序的威胁。