8月份,BitPaymer勒索软件运营商以汽车行业的几家公司为攻击目标,利用苹果零日漏洞影响与iTunes和iCloud for Windows捆绑的苹果软件更新服务。

  Apple软件更新是一项更新服务,当用户安装iTunes或iCloud for Windows或使用Boot Camp助手在Mac上安装Windows时,它会自动安装计算机。



  这项服务旨在让所有苹果应用程序在windows设备上保持最新状态,并为macs计算机上运行的windows安装提供软件和安全更新。

  未引用的路径零日漏洞

  BitPaymer的运营商在Apple Software Update for Windows中发现了一个未引用的路径漏洞,该漏洞允许他们在使用iTunes或iCloud的任何目标设备上以及之前卸载过勒索软件的设备上启动勒索软件负载,因为更新程序服务也不会自动删除。

  作为攻击的一部分,BitPaymer运营商通过滥用“零日”来执行先前丢弃的勒索软件有效载荷,而不是苹果软件更新二进制文件。

  他们这样做是利用了这样一个事实,即苹果的开发人员没有用引号将服务二进制文件的执行路径包围起来。这使得他们能够在没有扩展名的情况下启动以二进制名为“program”的形式丢弃的BitPaymer勒索软件。

  考虑到苹果软件更新二进制文件是由苹果签署的,使用它来启动勒索软件的有效载荷也使他们能够逃避检测,愚弄了受损系统上存在的反恶意软件解决方案的行为引擎。

  Apple软件更新程序未引用路径

  “我们还注意到,恶意文件不必放在C驱动器中并调用程序。它也可以被称为苹果或苹果软件,并放在程序文件中,”Morphisec首席技术官迈克尔·戈莱克补充道。

  “当然,对手需要这些文件夹的写权限。由于此漏洞,我们未观察到任何可能的权限提升。”

  苹果在10月7日发布了iTunes 12.10.1 for Windows和iCloud for Windows 7.14/10.7,修补了Morphisec披露的零日漏洞。

  Morphisec补充道:“在披露期内,在等待官方补丁的同时,Morphisec已经发现并报告了可能被类似误用的其他易受攻击的组件。”

  Morphisec在8月份发现的恶意活动中使用的Bitmayer勒索软件恶意软件最初是在2017年7月发现的,用于追捕和感染知名目标,与其他勒索软件团伙相比,其运营商可以要求巨额赎金。