Ba tháng trước, một lỗ hổng đã được phát hiện trong chức năng Gatekeeper, được cho là để bảo vệ macOS khỏi phần mềm có hại. Không mất nhiều thời gian để những nỗ lực lạm dụng đầu tiên xuất hiện.
Tuy nhiên, chuyên gia bảo mật Filippo Cavallarin đã phát hiện ra vấn đề với chính việc kiểm tra chữ ký của ứng dụng. Thật vậy, việc kiểm tra tính xác thực có thể bị bỏ qua hoàn toàn theo một cách nhất định.
Ở dạng hiện tại, Gatekeeper coi ổ đĩa ngoài và bộ lưu trữ mạng là "vị trí an toàn". Điều này có nghĩa là nó cho phép bất kỳ ứng dụng nào chạy ở những vị trí này mà không cần kiểm tra lại. Bằng cách này, người dùng có thể dễ dàng bị lừa vô tình gắn ổ đĩa hoặc bộ nhớ dùng chung. Mọi thứ trong thư mục đó sau đó đều dễ dàng bị Gatekeeper bỏ qua.
Nói cách khác, một ứng dụng đã được ký có thể nhanh chóng mở đường cho nhiều ứng dụng chưa được ký khác. Cavallarin nghiêm túc báo cáo lỗ hổng bảo mật cho Apple và sau đó đợi 90 ngày để nhận được phản hồi. Sau khoảng thời gian này, anh ta có quyền công bố lỗi, điều mà cuối cùng anh ta đã làm. Không ai từ Cupertino hưởng ứng sáng kiến của anh ấy.
Những nỗ lực khai thác lỗ hổng đầu tiên dẫn đến tệp DMG
Trong khi đó, hãng bảo mật Intego đã phát hiện ra những nỗ lực khai thác chính xác lỗ hổng này. Cuối tuần trước, nhóm phần mềm độc hại đã phát hiện ra nỗ lực phân phối phần mềm độc hại bằng phương pháp được mô tả bởi Cavallarin.
Lỗi được mô tả ban đầu sử dụng tệp ZIP. Mặt khác, kỹ thuật mới thử vận may với tệp ảnh đĩa.
Hình ảnh đĩa ở định dạng ISO 9660 với phần mở rộng .dmg hoặc trực tiếp ở định dạng .dmg của Apple. Thông thường, ảnh ISO sử dụng phần mở rộng .iso, .cdr, nhưng đối với macOS, .dmg (Apple Disk Image) phổ biến hơn nhiều. Đây không phải là lần đầu tiên phần mềm độc hại cố gắng sử dụng các tệp này, rõ ràng là để tránh các chương trình chống phần mềm độc hại.
Intego đã thu thập tổng cộng bốn mẫu khác nhau được VirusTotal thu thập vào ngày 6 tháng 6. Sự khác biệt giữa các phát hiện riêng lẻ là ở thứ tự giờ và tất cả chúng đều được kết nối bằng đường dẫn mạng tới máy chủ NFS.
Phần mềm quảng cáo OSX/Surfbuyer được ngụy trang dưới dạng Adobe Flash Player
Các chuyên gia đã phát hiện ra rằng các mẫu này rất giống với phần mềm quảng cáo OSX/Surfbuyer. Đây là phần mềm độc hại phần mềm quảng cáo gây khó chịu cho người dùng không chỉ khi duyệt web.
Các tập tin được ngụy trang dưới dạng trình cài đặt Adobe Flash Player. Về cơ bản, đây là cách phổ biến nhất mà các nhà phát triển cố gắng thuyết phục người dùng cài đặt phần mềm độc hại trên máy Mac của họ. Mẫu thứ tư được ký bởi tài khoản nhà phát triển Mastura Fenny (2PVD64XRF3), mẫu này đã được sử dụng cho hàng trăm trình cài đặt Flash giả mạo trong quá khứ. Tất cả đều thuộc phần mềm quảng cáo OSX/Surfbuyer.
Cho đến nay, các mẫu đã chụp không làm gì khác ngoài việc tạm thời tạo một tệp văn bản. Vì các ứng dụng được liên kết động trong ảnh đĩa nên có thể dễ dàng thay đổi vị trí máy chủ bất kỳ lúc nào. Và điều đó mà không cần phải chỉnh sửa phần mềm độc hại được phân phối. Do đó, rất có thể những người sáng tạo sau khi thử nghiệm đã lập trình các ứng dụng "sản xuất" có chứa phần mềm độc hại. Nó không còn phải bị phần mềm chống phần mềm độc hại VirusTotal bắt được nữa.
Intego đã báo cáo tài khoản nhà phát triển này cho Apple để yêu cầu thu hồi quyền ký chứng chỉ.
Để tăng cường bảo mật, người dùng nên cài đặt ứng dụng chủ yếu từ Mac App Store và suy nghĩ về nguồn gốc của chúng khi cài đặt ứng dụng từ các nguồn bên ngoài.
Petr Škuta 
Amaya Toman 
Daniel Hruska 