Se você ainda acredita que o Mac possui uma proteção infalível e é imune a qualquer ataque cibernético, é bom mudar de ideia. Na semana passada a Intego, uma empresa especializada em segurança para Macs, descobriu um novo malware que pode atacar os computadores da Apple. O arquivo recebe o nome de OSX/Linker e tenta aproveitar uma falha de dia zero no sistema Gatekeeper do macOS.

O Gatekeeper é uma tecnologia incluída no macOS que verifica a origem de aplicativos baixados da Internet e a possibilidade de existirem malwares específicos contidos nestes arquivos, antes de permitir a sua execução. A vulnerabilidade “MacOS X GateKeeper Bypass” foi divulgada recentemente por Filippo Cavallarin, em 24 de maio. O especialista em cibersegurança decidiu tornar pública sua descoberta após a Apple ignorar seu aviso e não resolver a falha em até 90 dias. 

Cavallarin observou que o macOS trata os aplicativos carregados de um compartilhamento de rede de maneira diferente dos aplicativos baixados da Internet. A barreira da Apple poderia ser driblada ao criar um link simbólico (symlink) para um aplicativo hospedado em um servidor NFS (Network File System) controlado pelo invasor. Bastaria, então, criar um arquivo .zip contendo esse symlink e obter uma vítima para carregá-lo na sua máquina. O vídeo abaixo exibe esse procedimento:

 

No início da semana passada, a equipe de pesquisa de malware da Intego descobriu as primeiras tentativas conhecidas de aproveitar a vulnerabilidade de Cavallarin. Apesar de Cavallarin indicar ameaças de arquivos compactados no formato .zip em suas divulgações, as amostras analisadas pela Intego eram, na verdade, de imagens de disco no formato .dmg, disfarçadas de instaladores do Adobe Flash Player.

A empresa recebeu quatro amostras dos malwares algumas horas depois de elas serem enviadas ao portal VirusTotal – todas estavam vinculadas a um aplicativo específico em um servidor NFS acessível pela internet. O primeiro arquivo foi enviado por alguém em Israel ou que estava mascarando seu endereço IP para parecer estar em Israel. Os outros três foram autoria de um mesmo usuário anônimo, que aparentava estar nos Estados Unidos. A Intego especula que todos os quatro arquivos tenham sido enviados pela mesma pessoa, que esqueceu de mascarar seu endereço IP depois do upload da primeira amostra.

Embora nenhumas amostra do vírus tenha sido encontrada “à solta” e nenhum caso de computador infectado tenha sido reportado, a Intego publicou instruções sobre como garantir que seu Mac esteja limpo, além de divulgar uma atualização do seu programa antivírus que elimina a ameaça. No final das contas, os usuários de Macs devem tomar medidas para se proteger ativamente contra ameaças de malware, porque os invasores estão cada vez mais espertos.

Fonte: Intego