macOS Trojan Upgrades: Verbreitung über signierte App, Verschlüsselung von Benutzern mit mehr verdeckten Risiken

BlockBeats News, 23. Dezember, SlowMist Chief Security Officer 23pds teilte einen Beitrag, in dem es heißt, dass die MacSync Stealer-Malware, die auf der macOS-Plattform aktiv ist, eine signifikante Entwicklung durchlaufen hat, wobei Benutzer-Assets bereits gestohlen wurden. In dem von ihm geteilten Artikel wurde erwähnt, dass es von früherer Abhängigkeit von "Drag-and-Drop to Terminal" und "ClickFix" und anderen niedrigschwelligen Aufforderungsmethoden auf Code Signing und durch notariell beglaubigte Swift-Anwendungen aktualisiert wurde, was seine Stealthiness erheblich verbesserte.

Forscher fanden heraus, dass diese Probe in Form eines Disk-Images namens zk-call-messenger-installer-3.9.2-lts.dmg verbreitet wird, getarnt als Instant Messaging- oder Dienstprogrammanwendungen, um Benutzer zum Herunterladen zu veranlassen. Anders als bisher erfordert die neue Version keine Terminalbedienung mehr durch den Benutzer, sondern wird von einem integrierten Swift-Helfer von einem Remote-Server gezogen und ausgeführt, um den Informationsdiebstahlprozess abzuschließen.

Diese Malware wurde von Apple signiert und notariell beglaubigt, wobei die Entwicklerteam-ID GNJLS3UYZ4 lautet und der zugehörige Hash von Apple während der Analyse nicht widerrufen wurde. Dies bedeutet, dass es unter den standardmäßigen Sicherheitsmechanismen von macOS ein höheres "Vertrauensniveau" hat, was es einfacher macht, die Benutzerwachsamkeit zu umgehen. Untersuchungen ergaben auch, dass die DMG-Datei ungewöhnlich groß ist und Lockvogeldateien enthält, die unter anderem mit LibreOffice-PDFs zusammenhängen, um den Verdacht weiter zu reduzieren.

Sicherheitsforscher wiesen darauf hin, dass solche Trojaner, die Informationen stehlen, häufig auf Browserdaten, Kontoanmeldeinformationen und Wallet-Informationen von Kryptowährungen abzielen. Da Malware beginnt, Apples Signier- und Beglaubigungsmechanismus systematisch zu missbrauchen, sehen sich Kryptowährungsbenutzer in der macOS-Umgebung einem steigenden Risiko von Phishing und private key-Leaks ausgesetzt.

Benutzern wird dringend empfohlen, sicherzustellen, dass Bedrohungsprävention und erweiterte Bedrohungskontrolle in Jamf für Mac aktiviert und auf Blockiermodus eingestellt sind, um diese neuesten Varianten von Informationsklau-Malware zu schützen.