Эксперт обнаружил установщик рекламного ПО, эксплуатирующий брешь в платформе.
Исследователь компании Malwarebytes Адам Томас (Adam Thomas) сообщил о том, что злоумышленники используют эксплоит для раскрытой в прошлом месяце уязвимости в OS X 10.10 и более поздних версиях. Эксперт обнаружил его, когда ему попался новый установщик рекламного ПО.
В ходе тестирования рекламного ПО на машине под управлением OS X Томас обратил внимание на то, что файл sudoers (скрытый файл Unix, определяющий, кому предоставлять права суперпользователя в командной оболочке Unix) был модифицирован. В данном конкретном случае уязвимость позволила рекламному ПО получить права суперпользователя через Unix без обязательного ввода пароля администратора.
Эксплуатирующий уязвимость DYLD_PRINT_TO_FILE скрипт записывается в файл и выполняется, после чего часть его удаляется. Скрипт запускает приложение VSInstaller, которое исследователь обнаружил в скрытой директории образа диска установщика рекламного ПО. Получив права суперпользователя, программа могла загружать все что угодно.
Что касается VSInstaller, то данное приложение устанавливает рекламное ПО VSearch, вариант Genieo и MacKeeper. В итоге оно направляет пользователя на приложение Download Shuttle в Mac App Store.
По словам Томаса, это плохие новости для Apple, которая уже некоторое время была осведомлена о наличии уязвимости. Несмотря на то, что ИБ-эксперт Стефан Эссер (Stefan Esser) опубликовал подробности о бреши только в конце прошлого месяца, исследователь beist уведомил купертиновцев о проблеме несколькими месяцами ранее. Похоже, что Apple пока еще не решила этот вопрос.
Наш канал — питательная среда для вашего интеллекта