В августе 2015 года в OS X обнаружили уязвимость, которая позволяла приложениям устанавливаться в систему, без разрешения пользователя и без ввода пароля. Казалось бы, Apple выпустила патч и закрыла данный баг. Однако специалисты компании Malwarebytes заметили, что в ходу у злоумышленников появилась еще одна, похожая и до сих пор работающая атака, которая позволяет получить доступ к Mac Keychain.

На крайне странном поведении поймали софт израильской компании Genieo Innovation, которая давно известна специалистам, так как ранее уже была замечена за распространением нежелательного для пользователя ПО и установкой adware. На этот раз Genieo пошла дальше. Так как баг в DYLD_PRINT_TO_FILE пофиксили, теперь установщик все же спрашивает у пользователя пароль, от этого никуда не денешься. Затем на машину пользователя устанавливаются Genieo, VSearch и MacKeeper, а также редирект на Download Shuttle. Но это, к сожалению, далеко не самое страшное.

Чтобы получить доступ к списку Safari Extensions List в Keychain установщик проделывает простой, наглый и очень действенный трюк. Окно с оповещением о запросе на доступ к Keychain появляется на экране лишь на секунду, затем инсталлер Genieo определяет положение кнопки «Allow» («Разрешить») и самостоятельно на нее кликает! Определенно, раньше создатели Genieo писали ботов для mmorpg. Специалисты Malwarebytes с некоторым удивлением отмечают, что странно, как до такого простого решения никто не додумался раньше.

Зачем установщику Genieo вообще нужно в Keychain? Как уже было сказано выше, чтобы добраться до списка Safari Extensions List и… установить расширение Leperdvil. Да. Все настолько просто.
Тем не менее, в Keychain хранятся пароли от iCloud, Gmail и множества других сервисов. Модифицировать данную технику для более серьезных атак и кражи данных, большого труда явно не составит.

Mac-adware-keychain-alert-click
Код Genieo, ответственный за автокликер

Уязвимость в данном случае заключается в том, что Apple вообще позволяет реализовать позиционирование и автокликер. Хотя данные функции используются в системе для помощи пользователям с ограниченными возможностями (к примеру, с нарушениями зрения). То есть, каким образом это можно «исправить», не совсем ясно.

Кстати, исследователи Malwarebytes немного ошиблись. Оказалось, подобные атаки не такая уж редкость, их применяют с 2011 года. В твиттере пользователь @noarfromspace написал, что видел подобную технику еще в малвари DevilRobber. Зловред использовал язык AppleScript, чтобы обнаружить нужное окно (с вопросом о доступе к Keychain) и затем имитировал клик по кнопке «Allow».

Фото: Malwarebytes

2 комментария

  1. Аватар

    divided

    04.09.2015 at 16:36

    Ну, с AppleScript я это использовал много лет, чтобы кликать много чего. Например, есть у меня кучка скриптов, чтобы поменчять языки или время ухода в sleep. Причём на экране это таб быстро мигает, что не разберёшь, что там мелькает.

  2. Аватар

    k1k0

    05.09.2015 at 17:49

    Бедный «мак» 🙁

Оставить мнение