Actualizaciones de troyanos de macOS: Propagación a través de la aplicación firmada, cifrando a los usuarios enfrentan más riesgo encubierto

BlockBeats News, 23 de diciembre, el director de seguridad de SlowMist 23pds compartió una publicación en la que afirmaba que el malware MacSync Stealer activo en la plataforma macOS ha experimentado una evolución significativa, con activos de usuario ya robados. El artículo compartido por él mencionaba que desde la dependencia anterior en "arrastrar y soltar a la terminal" y "ClickFix" y otros métodos de inducción de umbral bajo, se ha actualizado a la firma de código y a través de las aplicaciones notariales Swift de Apple, mejorando significativamente su sigilo.

Los investigadores descubrieron que esta muestra se está difundiendo en forma de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, disfrazada de mensajería instantánea o aplicaciones de utilidad para inducir a los usuarios a descargar. A diferencia de antes, la nueva versión ya no requiere ninguna operación de terminal por parte del usuario, sino que es extraída y ejecutada por un asistente Swift incorporado desde un servidor remoto para completar el proceso de robo de información.

Este malware ha sido firmado y notariado por Apple, con el ID del equipo de desarrolladores siendo GNJLS3UYZ4, y el hash relacionado no ha sido revocado por Apple durante el análisis. Esto significa que tiene un "nivel de confianza" más alto bajo los mecanismos de seguridad predeterminados de macOS, lo que facilita evitar la vigilancia del usuario. La investigación también encontró que el archivo DMG es inusualmente grande, conteniendo archivos señuelo relacionados con PDF de LibreOffice, entre otros, para reducir aún más las sospechas.

Los investigadores de seguridad señalaron que tales troyanos de robo de información a menudo se dirigen a los datos del navegador, las credenciales de la cuenta y la información de la billetera de criptomonedas. A medida que el malware comienza a abusar sistemáticamente del mecanismo de firma y notarización de Apple, los usuarios de criptomonedas en el entorno macOS se enfrentan a un riesgo creciente de phishing y filtraciones de clave privada.

Se recomienda encarecidamente a los usuarios que se aseguren de que la prevención de amenazas y el control avanzado de amenazas están habilitados en Jamf para Mac y configurados en modo de bloqueo para defenderse contra estas últimas variantes de malware de robo de información.