OSX / Linker

Descrição do OSX / Linker

Os pesquisadores de segurança do PC receberam relatos de que criminosos estão desenvolvendo malware para aproveitar uma vulnerabilidade divulgada recentemente em sistemas MacOS. Um criador de malware que foi vinculado a outro malware para a plataforma MacOS desenvolveu o malware OSX/Linker. O OSX/Linker foi desenvolvido para explorar uma vulnerabilidade no Gatekeeper, um sistema de segurança do MacOS usado para determinar quais aplicativos baixados da Web são seguros para uso. Esse exploit foi relatado no final de maio de 2019. Esse bug permite que o dispositivo das vítimas faça o download de um binário corrompido que é capaz de ignorar os meios usados pelo Gatekeeper para verificar os arquivos. Todas as versões do MacOS são vulneráveis a esse exploit, incluindo o mais recente 10.14.5, e um mês depois que esse exploit foi detectado, a Apple ainda não lançou uma atualização para ajudar a proteger os dispositivos de seus clientes. Os ataques do OSX/Linker ainda não foram observados sendo usados no ambiente contra os dispositivos das vítimas, embora isso não signifique que este não seja um malware ativo.

O OSX/Linker e Malware que Ataca os Dispositivos MacOS

Um equívoco comum sobre o MacOS é que ele é invulnerável ao malware. Embora seja fiel que a grande maioria dos malwares atualmente ativos e desenvolvidos esteja voltada para o sistema operacional Windows, o MacOS é vulnerável e há muitas ameaças projetadas para esse sistema operacional. A vulnerabilidade do Gatekeeper só agrava esse problema, tornando mais provável que outras ameaças sejam desenvolvidas. O OSX/Linker é projetado para ignorar a verificação do Gatekeeper, permitindo que os criminosos obtenham acesso ao dispositivo da vítima e entreguem um arquivo corrompido à vítima. O grupo responsável pelo OSX/Linker também é responsável pelo adware conhecido como SurfBuyer, que também é projetado para atacar dispositivos MacOS. O raciocínio para vincular o mesmo grupo ao OSX/Linker é a presença de várias semelhanças nas campanhas. O OSX/Linker provavelmente ainda está em seus estágios iniciais de desenvolvimento, e ainda pode haver tempo para os pesquisadores de segurança do PC desenvolverem proteções e a Apple lançar atualizações para corrigir essa vulnerabilidade.

Como Ameaças como o OSX/Linker podem ser Entregues às Vítimas

O OSX/Linker pode ser entregue às vítimas de várias maneiras. O modo preferido pelo qual ameaças como o OSX/Linker são entregues às vítimas é através de falsas versões de softwares comumente usados ou pelo desenvolvimento de instaladores de software ameaçadores que também entregam malware ou Programas Potencialmente Indesejados (PUPs) às vítimas. As formas típicas de entrega incluem atualizações falsas para o Adobe Flash Player ou outras plataformas de terceiros. As amostras do OSX/Linker foram ocultadas como atualizadores ou instaladores para essa plataforma de vídeo. Esta é, na realidade, uma das formas mais comuns de entregar a maioria das ameaças de malware. Devido a esses métodos de entrega, a maneira mais eficiente de proteger seu dispositivo contra essas ameaças é aprender a se proteger quando estiver navegando na Web ou lidando com downloads de software, anexos de e-mail ou outros métodos típicos de entrega de malware.

O que o OSX/Linker Faz?

A coisa estranha sobre o OSX/Linker é que não é certo o que, se é o caso, o OSX/Linker faz no dispositivo da vítima atualmente. Isso ocorre porque as amostras do OSX/Linker que foram detectadas simplesmente conectaram o dispositivo da vítima a um arquivo de texto on-line, claramente um espaço reservado para outra coisa (como foi mencionado acima, é provável que o OSX/Linker ainda esteja em seus estágios iniciais). É possível que este arquivo de texto possa ser substituído virtualmente por qualquer coisa, o que permitiria que o OSX/Linker fosse usado para distribuir malwares muito diferentes.