Mac にマルウェアを侵入させないよう設計されたツールである macOS の Gatekeeper 認証機能の欠陥が悪用され、「OSX/Linker」というあだ名の悪意のあるソフトウェア パッケージが配布されていると報告されています。
セキュリティ研究者の Filippo Cavallarin によって発見されたこのエクスプロイトは、自動マウントとゲートキーパーという 2 つの基本的な Mac 機能に依存して機能します。
詳細に記載されているように、トムのガイド, Gatekeeper は、インターネットからダウンロードされたファイルを Apple の XProtect ウイルス対策スクリーナーに送り込みますが、ローカル ストレージ デバイスからのファイル(自動マウント経由でマウント)には、精査することなく安全な通過を許可します。カヴァラリンはできましたトリックゲートキーパー通常のスクリーニング プロトコルをバイパスして、ダウンロードされたファイルがローカル ドライブからのものであると判断します。
騎手伝えられるところによるとは2月にこの問題についてAppleに問い合わせたが、問題が未解決のままだったために5月24日に詳細を公表した。
付属の OSX/Linker マルウェアは Mac のハイジャックを試み、その時点でコンピュータは暗号化マイニングからデータ盗難まで、攻撃者が望むあらゆる悪意のある活動に使用される可能性があります。
このコードは、研究者がマルウェア サンプルの検出と共有に使用するリポジトリである VirusTotal に 4 回アップロードされました。これは比較的少量であり、マルウェアはすでに Intego ソフトウェアやおそらく他のウイルス対策ツールによって検査されています。
したがって、特に不明なソースからのダウンロードを拒否するなどの標準プロトコルに従うことで、OSX/リンカーを回避するのは比較的簡単です。自動マウントを無効にすることもできますが、その場合、ユーザーは外部ドライブを使用するたびに手動で接続したり切断したりする必要があります。
