Компания Apple выпустила macOS Big Sur 11.3, где исправлена уязвимость, которой уже злоупотребляли хакеры. Баг позволял малвари обойти защиту Gatekeeper, Apple File Quarantine и процесс нотаризации (notarization).
Уязвимость CVE-2021-30657 была обнаружена ИБ-специалистом Седриком Оуэнсом (Cedric Owens). В блоге исследователь пишет, что обнаружил новый метод упаковки неподписанных приложений для macOS, который заставляет Gatekeeper считать, что приложение нотаризовано и подписано. То есть приложение потенциального атакующего может работать без каких-либо предупреждений о его небезопасности.
Также Оуэнс попросил известного специалиста в области безопасности macOS Патрика Уордла проверить свои выводы. В собственном блоге Уордл сообщает, что Оуэнс полностью прав, а также отмечает, что обнаружил образцы малвари, которые использовали эту уязвимость для распространения. Об этом же пишут и эксперты компании Jamf Protect.
По данным специалистов, уязвимость с января 2021 года эксплуатировали разработчики малвари Shlayer, и Уордл отмечает, что это худшая уязвимость в macOS за последнее время, а Shlayer — весьма продвинутая вредоносная кампания.
Напомню, что, по данным «Лаборатории Касперского», Shlayer уже два года является самой распространенной угрозой для macOS: в 2019 году каждый десятый пользователь защитных решений компании сталкивался с этой малварью хотя бы раз, а его доля по отношению ко всем детектам на данной ОС составляет практически 30%.
Первые экземпляры семейства Shlayer попали в руки исследователей еще в феврале 2018 года, и в начале 2020 года было собрано почти 32 000 различных вредоносных образцов трояна, а также выявлено 143 домена управляющих серверов.
Чаще всего трояны семейства Shlayer загружают и устанавливают на устройства пользователей различные рекламные приложения. Кроме того, их функциональность теоретически позволяет скачивать программы, которые не просто заваливают пользователей рекламой, но и самопроизвольно открывают рекламные страницы в браузерах и подменяют результаты поиска, чтобы загружать еще больше рекламных сообщений.
Также стоит помнить о том, что хакеры могут в любой момент переключиться на более опасные пейлоады, такие как программы-вымогатели или вайперы.
