Hace tres meses, se descubrió una vulnerabilidad en la función Gatekeeper, que supuestamente protege macOS de software potencialmente dañino. No tardaron en aparecer los primeros intentos de abuso.
Sin embargo, el experto en seguridad Filippo Cavallarin ha descubierto un problema con la comprobación de firmas de la aplicación. De hecho, el control de autenticidad se puede eludir por completo de cierta manera.
En su forma actual, Gatekeeper considera las unidades externas y el almacenamiento en red como "ubicaciones seguras". Esto significa que permite que cualquier aplicación se ejecute en estas ubicaciones sin volver a verificar, de esta manera, se puede engañar fácilmente al usuario para que, sin saberlo, monte una unidad o almacenamiento compartido. Gatekeeper omite fácilmente cualquier contenido de esa carpeta.
En otras palabras, una única aplicación firmada puede abrir rápidamente el camino a muchas otras no firmadas. Cavallarin informó diligentemente sobre la falla de seguridad a Apple y luego esperó 90 días para obtener una respuesta. Transcurrido este plazo, tiene derecho a publicar el error, lo que finalmente hizo. Nadie de Cupertino respondió a su iniciativa.
Los primeros intentos de explotar la vulnerabilidad conducen a archivos DMG
Mientras tanto, la empresa de seguridad Intego ha descubierto intentos de explotar exactamente esta vulnerabilidad. A finales de la semana pasada, el equipo de malware descubrió un intento de distribuir el malware utilizando el método descrito por Cavallarin.
El error descrito originalmente utilizaba un archivo ZIP. La nueva técnica, por el contrario, prueba suerte con un archivo de imagen de disco.
La imagen del disco estaba en formato ISO 9660 con una extensión .dmg o directamente en el formato .dmg de Apple. Normalmente, una imagen ISO utiliza las extensiones .iso, .cdr, pero para macOS, .dmg (Imagen de disco de Apple) es mucho más común. No es la primera vez que un malware intenta utilizar estos archivos, aparentemente para evitar los programas antimalware.
Intego capturó un total de cuatro muestras diferentes capturadas por VirusTotal el 6 de junio. La diferencia entre los hallazgos individuales fue del orden de horas y todos estaban conectados mediante una ruta de red al servidor NFS.
Software publicitario OSX/Surfbuyer disfrazado de Adobe Flash Player
Los expertos lograron descubrir que las muestras son sorprendentemente similares al adware OSX/Surfbuyer. Se trata de un malware publicitario que molesta a los usuarios no sólo mientras navegan por la web.
Los archivos estaban disfrazados de instaladores de Adobe Flash Player. Esta es básicamente la forma más común en que los desarrolladores intentan convencer a los usuarios para que instalen malware en su Mac. La cuarta muestra fue firmada por la cuenta de desarrollador Mastura Fenny (2PVD64XRF3), que se ha utilizado para cientos de instaladores Flash falsos en el pasado. Todos ellos pertenecen al software publicitario OSX/Surfbuyer.
Hasta ahora, las muestras capturadas no han hecho más que crear temporalmente un archivo de texto. Debido a que las aplicaciones estaban vinculadas dinámicamente en las imágenes de disco, era fácil cambiar la ubicación del servidor en cualquier momento. Y ello sin tener que editar el malware distribuido. Por tanto, es probable que los creadores, tras realizar pruebas, ya hayan programado aplicaciones de "producción" que contienen malware. Ya no tenía que ser detectado por el antimalware VirusTotal.
Intego informó de esta cuenta de desarrollador a Apple para que se revocara su autoridad de firma de certificados.
Para mayor seguridad, se recomienda a los usuarios instalar aplicaciones principalmente desde Mac App Store y pensar en su origen al instalar aplicaciones de fuentes externas.
Petr Škuta 
Amaya Tomán 
Daniel Hruska 