去年五月,Intego 公司的一名研究人员发现了一个允许绕过保护功能的缺陷看门人macOS,它会自动阻止安装无法验证来源的软件。该漏洞依赖于符号链接,使恶意软件看起来像是本地资源,因此自动值得信任。
Intego 公司现已检测到第一个试图利用此缺陷的恶意软件。因此,她在 VirusTotal 分析服务上发现了四个类似的代码副本,这些副本使用指向名为“Adobe Flash Player.dmg”的文件的符号链接。 Apple 磁盘映像 (.dmg) 是一种经常用于分发 macOS 软件的格式。
追踪广告软件作者
显然,作者想以众所周知的 Adobe 软件为幌子,偷偷地分发潜在的恶意软件。其中一份副本上的签名还引用了一位开发人员的 Apple 开发人员 ID,该开发人员过去已经创建了数百个假冒 Adobe Flash Player 文件。这些实际上是……广告软件。
当研究人员开始分析时,四个链接末尾的应用程序已不再可用。但对 VirusTotal 的进一步研究表明,没有什么恶意的,只是权宜之计的代码。这些可能是实验版本。
无论如何,这一发现表明黑客正在行动,苹果最好部署补丁。与此同时,这家库比蒂诺巨头至少已经停用了研究人员透露的开发者帐户。
来源:英泰戈
