Разработчикам вредоносного ПО для Mac, известного как Shlayer, удалось успешно пройти автоматизированный процесс нотариального заверения программ Apple. С начала 2020 г. любое программное обеспечение для Mac, которое распространяется за пределами Mac App Store, должно быть нотариально заверено Apple, чтобы была возможность его запустить на macOS Catalina и более новых версиях.
Устанавливаемое на Mac программное обеспечение проходит автоматическую проверку безопасности, что реализуется с помощью функции macOS Gatekeeper. Эта функция проверяет, проходила ли проверка загруженного приложения на наличие вредоносного содержимого, после чего дает разрешение ПО запуститься в системе или блокирует его.
Эксперт по информационной безопасности Питер Дантини обнаружил, что защитный функционал Apple был обманут разработчиками вредоносного ПО Shlayer. Специалист нашел нотариально заверенные Apple установщики вредоноса Shlayer, которые распространяются через поддельный сайт Homebrew и могут быть запущены на любом Mac, работающем под управлением macOS Catalina без автоматической блокировки во время запуска.
Другой ИБ-эксперт, Патрик Уорд, подтвердил, что эти установщики действительно поставляли образцы рекламного ПО Shlayer, нотариально заверенного Apple. Это означает, что они также могут загрузиться пользователей, использующих последнюю версию MacOS 11.0 Big Sur.
Хуже того, учитывая, что установщики рекламного вредоноса были одобрены Apple, пользователи могли доверять им, не раздумывая, тем самым позволяя разработчикам вредоносных программ распространять свой софт на еще большее количество систем.
После того как Патрик Уорд сообщил Apple о найденных вредоносных нотариально заверенных установщиков рекламного ПО Shlayer, корпорация немедленно отреагировала и отозвала сертификаты (это означает, что они автоматически заблокированы функцией Gatekeeper) в тот же день, 28 августа:
Но в минувшие выходные Патрик Уорд снова обнаружил, что операторы вредоноса Shlayer продолжили работу в прежнем направлении, предлагая новые образцы своего вредоносного ПО, нотариально заверенного в тот же день, когда в Apple отозвали сертификаты первоначального установщика. Специалист сказал следующее по этому поводу: «Пока очевидно, что в бесконечной игре в кошки-мышки между Apple и киберпреступниками последние пока одерживают безусловную победу».
