Злоумышленники вновь обманули проверки Apple

В сентябре 2020 года «Хакер» рассказывали о том, что малварь Shlayer благополучно прошла процесс нотаризации (notarization process), и получила возможность запускаться на любом Mac под управлением macOS Catalina и новее.

Этот защитный механизм компания Apple представила в феврале текущего года: любое ПО для Mac, распространяемое за пределами App Store, должно пройти процедуру нотаризации чтобы его можно было запускать на macOS Catalina и выше. По сути, любой софт для Mac теперь должен проходить автоматизированное сканирование в Apple, проверку на наличие вредоносных компонентов и проблем с подписанием кода. Если проверки пройдены, приложение попадает в белый список, и Gatekeeper разрешает без проблем запускать  и устанавливать его в системе.

К сожалению, как и в случае с Bouncer (автоматизированной системой защиты, которая сканирует приложения для Android перед их загрузкой в ​​Google Play Store), процесс нотаризации приложений Apple тоже работает неидеально. Так, суммарно уже было обнаружено более 40 нотаризованных приложений, зараженных трояном Shlayer  и рекламной малварью BundleCore.

Теперь же исследователь Джошуа Лонг (Joshua Long) из компании Intego, сообщил, что выявил еще шесть вредоносных приложений, благополучно прошедших процедуру нотаризации.

Все шесть найденных «продуктов» выдавали себя за установщики Flash, но на самом деле загружали на машины жертв рекламную малварь OSX/MacOffers, которая, в частности, вмешивается в работу поисковой системы в браузере пользователя.

Эксперт пишет, что Apple отозвала сертификат разработчика этих вредоносов раньше, чем специалисты Intego успели закончить свое расследование. Неясно, как в Apple обнаружили эти приложения: возможно компания получила предупреждение от другого ИБ-исследователя, или кто-то их пострадавших пользователей Mac уведомил компанию о происходящем.

Так как Adobe, наряду с другими компаниями, планирует окончательно отказаться от поддержки Flash в конце 2020 года, Лонг в очередной раз призвал пользователей прекратить скачивать установщики Flash, которые обычно оказываются вредоносными.

Источник:

https://xakep.ru/2020/10/26/osx-macoffers/