如果您尚未更新到最新版本的macOS,现在是时候这样做了,因为安全研究人员已经确定了一个新的活动,该活动使用伪造的应用程序捆绑包在毫无戒心的用户的Mac上安装恶意软件。
在最近的博客文章中,Objective-See的mac恶意软件专家描述了一种利用此漏洞的攻击程序,攻击者可以使用脚本作为主要可执行文件来创建伪造的应用程序捆绑包,从而绕过macOS上的文件隔离,关守和公证。
虽然此漏洞仅适用于11.3之前的macOS版本,但Jamf Protect的检测小组观察到,该漏洞已被用于丢弃广告软件的Shlayer恶意软件的变体在野外使用。此新变体也已重新打包,以使用执行Gatekeeper绕过漏洞所需的格式。
为了滥用此漏洞,攻击者需要使用脚本作为主要可执行文件来制作应用程序捆绑包,而不创建Info.plist文件。然后,需要将该应用程序放入dmg文件中进行分发。挂载并双击dmg时,将执行不带Info.plist文件的基于脚本的应用程序的组合,而无需任何隔离,签名或公证验证。
将Mac更新到最新版本的macOS是防止成为使用此方法发起的任何攻击的受害者的最简单方法,因为此漏洞已在今天早些时候发布的macOS版本11.3中进行了修补。如果用户尝试在补丁版本的macOS上执行Shlayer恶意软件,他们将看到一个弹出窗口,提示该软件“由于无法识别开发人员而无法打开”。