그러나 보안 전문가 Filippo Cavalarin은 앱의 서명 확인 자체에 문제가 있음을 발견했습니다. 실제로 진위 여부 확인은 특정 방식으로 완전히 우회될 수 있습니다.
현재 형태에서 Gatekeeper는 외부 드라이브와 네트워크 스토리지를 "안전한 위치"로 간주합니다. 즉, 다시 확인하지 않고도 이러한 위치에서 모든 애플리케이션을 실행할 수 있으며, 이러한 방식으로 사용자가 무의식적으로 공유 드라이브나 스토리지를 마운트하도록 쉽게 속일 수 있습니다. 그러면 해당 폴더에 있는 모든 항목은 Gatekeeper에 의해 쉽게 우회됩니다.
즉, 서명된 단일 응용 프로그램은 서명되지 않은 다른 여러 응용 프로그램의 길을 빠르게 열 수 있습니다. Cavalarin은 Apple에 보안 결함을 성실하게 보고한 후 응답을 90일 동안 기다렸습니다. 이 기간이 지나면 그는 오류를 게시할 자격이 있으며 결국 그렇게 했습니다. 쿠퍼티노의 어느 누구도 그의 계획에 응답하지 않았습니다.
취약점을 악용하려는 첫 번째 시도는 DMG 파일로 이어집니다.
한편, 보안 회사 Intego는 바로 이 취약점을 악용하려는 시도를 발견했습니다. 지난 주 말, 악성 코드 팀은 Cavalarin이 설명한 방법을 사용하여 악성 코드를 배포하려는 시도를 발견했습니다.
원래 설명된 버그는 ZIP 파일을 사용했습니다. 반면에 새로운 기술은 디스크 이미지 파일을 사용하여 행운을 시험합니다.
디스크 이미지는 확장자가 .dmg인 ISO 9660 형식이거나 직접 Apple의 .dmg 형식이었습니다. 일반적으로 ISO 이미지는 .iso, .cdr 확장자를 사용하지만 macOS의 경우 .dmg(Apple Disk Image)가 훨씬 더 일반적입니다. 맬웨어가 안티 맬웨어 프로그램을 피하기 위해 이러한 파일을 사용하려고 시도한 것은 이번이 처음이 아닙니다.
Intego는 6월 6일 VirusTotal에서 캡처한 총 4개의 서로 다른 샘플을 캡처했습니다. 개별 조사 결과의 차이는 몇 시간 단위였으며 모두 NFS 서버에 대한 네트워크 경로로 연결되었습니다.
Adobe Flash Player로 위장한 OSX/Surfbuyer 애드웨어
전문가들은 샘플이 OSX/Surfbuyer 애드웨어와 매우 유사하다는 사실을 발견했습니다. 이는 웹을 검색하는 동안뿐만 아니라 사용자를 괴롭히는 애드웨어 악성 코드입니다.
해당 파일은 Adobe Flash Player 설치 프로그램으로 위장되었습니다. 이는 기본적으로 개발자가 사용자가 Mac에 악성 코드를 설치하도록 설득하는 가장 일반적인 방법입니다. 네 번째 샘플은 과거 수백 개의 가짜 플래시 설치 프로그램에 사용되었던 개발자 계정 Mastur Fenny(2PVD64XRF3)에 의해 서명되었습니다. 그들은 모두 OSX/Surfbuyer 애드웨어에 속합니다.
지금까지 캡처된 샘플은 임시로 텍스트 파일을 생성하는 것 외에는 아무것도 수행하지 않았습니다. 애플리케이션이 디스크 이미지에 동적으로 연결되었기 때문에 언제든지 서버 위치를 쉽게 변경할 수 있었습니다. 그리고 배포된 악성코드를 편집할 필요도 없습니다. 따라서 제작자는 테스트 후 이미 악성 코드가 포함된 "프로덕션" 애플리케이션을 프로그래밍했을 가능성이 높습니다. 더 이상 VirusTotal 안티 맬웨어에 걸릴 필요가 없습니다.
페트르 스쿠타 
아마야 토만 
다니엘 흐루스카 