资安业者Intego于本周指出,有一款新的Mac恶意软件OSX/Linker企图开采苹果尚未修补的Gatekeeper漏洞,尽管OSX/Linker目前只是在侦测能否攻陷该漏洞,但黑客随时可自远程将它变成真正的恶意软件。此一漏洞是在今年5月由意大利的安全研究人员Filippo Cavallarin所揭露,他宣称苹果在macOS中用来侦测及封锁恶意软件的安全机制Gatekeeper,含有可被绕过的漏洞。这是因为Gatekeeper把外部磁盘及网络分享视为安全区域,允许执行任何来自这两个安全区域的程序,只要利用macOS中的两个合法功能,就能成功绕过Gatekeeper的保护。
虽然Cavallarin在研究中是以ZIP档为例展开攻击,但OSX/Linker则试图以伪装成Adobe Flash Player安装程序的DMG文件闯关。截至今年6月6日为止,Intego已在VirusTotal上发现4个OSX/Linker样本,它们都与同一个NSF服务器有关,猜测来自同一个作者,追踪其来源则与广告程序OSX/Surfbuyer一致,而OSX/Surfbuyer的作者,亦是以打造数百个伪造的Flash Player档案闻名,并具备苹果开发人员ID。苹果在收到Intego的研究报告后,已决定撤销该名开发人员的凭证。Intego说,尽管OSX/Linker目前看来除了企图开采Gatekeeper之外,并未含有恶意档案,但存在于DMG檔中的.app程序采用的是动态链接,意谓着它能自远程被变更,或者是有其它的OSX/Linker样本已被用来散布恶意软件。不论如何,Intego对Mac用户提出了警告:「Mac比Windows计算机安全是个神话」过去一个月他们就发现好几个新的Mac恶意软件活动,Mac用户应该采取行动来保护自己,以避免受到恶意软件的威胁。
