Mac惡意程序企圖開採Gatekeeper漏洞

安全企業Intego於本周指出，有一款新的Mac惡意程序OSX/Linker企圖開採蘋果尚未修補的Gatekeeper漏洞，儘管OSX/Linker目前只是在偵測能否攻陷該漏洞，但黑客隨時可自遠程將它變成真正的惡意程序。

該漏洞是在今年5月由義大利的安全研究人員Filippo Cavallarin所披露，他宣稱蘋果在macOS中用來偵測及封鎖惡意程序的安全機制Gatekeeper，含有可被繞過的漏洞。

這是因為Gatekeeper把外部磁碟及網路分享視為安全區域，允許執行任何來自這兩個安全區域的程序，只要利用macOS中的兩個合法功能，就能成功繞過Gatekeeper的保護。

雖然Cavallarin在研究中是以ZIP檔為例展開攻擊，但OSX/Linker則試圖以偽裝成Adobe Flash Player安裝程序的DMG檔闖關。

截至今年6月6日為止，Intego已在VirusTotal上發現4個OSX/Linker樣本，它們都與同一個NSF伺服器有關，猜測來自同一個作者，關注其來源則與廣告程序OSX/Surfbuyer一致，而OSX/Surfbuyer的作者，也是以打造數百個偽造的Flash Player文件聞名，並具備蘋果開發人員ID。

蘋果在收到Intego的研究報告後，已決定撤銷該名開發人員的憑證。

Intego說，儘管OSX/Linker目前看來除了企圖開採Gatekeeper之外，並未含有惡意文件，但存在於DMG檔中的.app程序採用的是動態連接，意味著它能自遠程被變更，或者是有其它的OSX/Linker樣本已被用來傳播惡意程序。

不論如何，Intego對Mac用戶提出了警告：「Mac比Windows計算機安全是個神話」過去一個月他們就發現好幾個新的Mac惡意程序活動，Mac用戶應該採取行動來保護自己，以避免受到惡意程序的威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！