OSX/Linker : un malware basé sur la faille Gatekeeper de Cavallarin
Par June Cantillon - Publié le
La société Intego a découvert un nouveau malware utilisant la faille Gatekeeper soulevée par Filippo Cavallarin, dont nous vous parlions le mois dernier.
Pour rappel, l'astuce consistait à faire parvenir un fichier ZIP contenant une lien symbolique vers une destination distante, contrôlée par le pirate, et approuvée par Gatekeeper. Cavallarin a contacté Apple dès le 22 février dernier, et la firme était censée corriger le bug avec macOS 10.14.5, ce qui n'a pas été fait.
Le nouveau venu, répondant au doux nom d'
Intego aurait communiqué à Apple l'identifiant utilisé (Mastura Fenny 2PVD64XRF3) pour signer les images disques infectées afin de faire révoquer au plus vite le certificat de ce dernier. Les ingénieurs de Cupertino planchent certainement sur un correctif impliquant quelques changements profonds, parfois longs à mettre en place.
Evidemment, Intego étant fournisseur de solutions antivirus, l'éditeur encourage les utilisateurs à installer ses solutions maison, comme VirusBarrier X9. Pour vérifier si votre Mac a été infecté, Intego propose toutefois une application gratuite qui permet de scanner la machine :
Pour rappel, l'astuce consistait à faire parvenir un fichier ZIP contenant une lien symbolique vers une destination distante, contrôlée par le pirate, et approuvée par Gatekeeper. Cavallarin a contacté Apple dès le 22 février dernier, et la firme était censée corriger le bug avec macOS 10.14.5, ce qui n'a pas été fait.
Le nouveau venu, répondant au doux nom d'
OSX/Linker, laisse de côté les fichiers ZIP au profit d'images disques censées contenir une mise à jour d'Adobe Flash Player (méthode fort peu originale). La société n'aurait détecté que quelques exemples pour le moment, utilisant l'adresse 108.168.175.167, ce qui pourrait indiquer que les pirates sont en phase de test.
Intego aurait communiqué à Apple l'identifiant utilisé (Mastura Fenny 2PVD64XRF3) pour signer les images disques infectées afin de faire révoquer au plus vite le certificat de ce dernier. Les ingénieurs de Cupertino planchent certainement sur un correctif impliquant quelques changements profonds, parfois longs à mettre en place.
Evidemment, Intego étant fournisseur de solutions antivirus, l'éditeur encourage les utilisateurs à installer ses solutions maison, comme VirusBarrier X9. Pour vérifier si votre Mac a été infecté, Intego propose toutefois une application gratuite qui permet de scanner la machine :
