OSX/Linker, il nuovo malware per macOS che riesce a bypassare il Gatekeeper.


In questi giorni Joshua Long, Chief Security Analyst di Intego, tramite un lungo post pubblicato sul sito dell'azienda ha fatto sapere di aver scoperto un nuovo malware per macOS, capace di superare le barriere volute da Apple con l'introduzione del Gatekeeper: si tratta di un codice malevolo, chiamato OSX/Linker e, stando alle prime informazioni, risulterebbe molto affine alla minaccia adware OSX/Surfbuyer. In pratica, come risaputo, nelle ultime versioni del macOS, la società della mela morsicata ha inserito la comoda funzionalità Gatekeeper, per rendere più sicuro l'utilizzo del sistema operativo: questa tecnologia permette, infatti, l'installazione di software solamente da sviluppatori certificati, (vale a dire provenienti dal Mac App Store oppure da altre fonti, purché siano riconosciute dalla Apple); in caso si volesse superare questa restrizione l'utente dovrà procedere manualmente, confermando l'intero processo d'installazione. Tuttavia, secondo quanto riferito dall'esperto di sicurezza, il nuovo malware OSX/Linker sarebbe in grado di sfruttare una vulnerabilità presente nel Gatekeeper, per superarne tali restrizioni: così facendo il codice malevolo sarebbe in grado di ottenere l'approvazione per l'esecuzione di numerose applicazioni, senza che l'utente intervenga in alcun modo e bypassando il sistema operativo, il quale le riconoscerà come del tutto legittime. In sostanza, secondo i ricercatori di sicurezza, il problema sarebbe dovuto all'impossibilità del Gatekeeper di controllare alcuni file d'archivio: il malware ne approfitterebbe per includere un cosiddetto symlink, affinché eventuali malintenzionati possano eseguire, appunto, del codice malevolo sul dispositivo in uso. Tra l'altro, come già anticipato, questo nuovo malware sfrutterebbe un attacco simile a quello di OSX/Surfbuyer, (un adware di cui si parla ormai da qualche mese): per OSX/Linker sono stati, infatti, creati anche diversi proof-of-concept, con l'implementazione del codice malevolo attraverso pop-up del browser fasulli riguardanti l'installazione di Adobe Flash; una metodologia ad oggi molto frequente per diffondere software "infetti". Comunque sia in queste ore Apple ha fortunatamente deciso di aggiornare il Gatekeeper in remoto in modo da rendere inoffensivo il malware OSX/Linker prima che possa causare danni gravi. Per questo motivo per tutti gli utenti che possiedono un Mac dovrebbero controllare il prima possibile di avere installata sul proprio dispositivo la versione 170 del Gatekeeper per evitare spiacevoli imprevisti: per far ciò è possibile tenere premuto il tasto opzione, (ossia ""), selezionare menù "Informazioni di sistema", recarsi nella colonna laterale e cliccare la voce "Installazioni", e da qui verificare, infine, la presenza della suddetta versione alla voce "GateKeeper Configuration Data".

Di seguito un video-esempio del funzionamento di OSX/Linker:

Commenti