macOS Trojan Upgrades: Spreading through Signed App, Encrypting Users Face More Covert Risk

bloque News, 23 de diciembre, el director de seguridad de SlowMist, 23pds, compartió una publicación indicando que el malware MacSync Stealer activo en la plataforma macOS experimentó una evolución significativa, con activo de usuarios ya robados. El artículo que compartió mencionó que desde la confianza anterior en el "arrastrar y soltar a plazo" y el "ClickFix" y otros métodos de inducción de umbral bajo, se actualizó a la firma de código y a través de las aplicaciones notariales de Apple Swift, mejorando significativamente su sigilo.

Los investigadores encontraron que esta muestra está siendo spread en forma de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, disfrazada como mensajería instantánea o aplicaciones de utilidad para inducir a los usuarios a descargar. A diferencia de antes, la nueva versión en long no requiere ninguna operación a plazo por parte del usuario sino que es extraída y ejecutada por un ayudante Swift integrado desde un servidor remoto para completar el proceso de robo de información.

Este malware fue firmado por código y notariado por Apple, con la ID del equipo de desarrolladores siendo GNJLS3UYZ4, y el hash relacionado no fue revocado por Apple durante el análisis. Esto significa que tiene un "nivel de confianza" más alto bajo los mecanismos de seguridad predeterminados de macOS, lo que facilita eludir la vigilancia del usuario. La investigación también encontró que el archivo DMG es inusualmente grande, conteniendo archivos señuelo relacionados con los PDF de LibreOffice, entre otros, para reducir aún más las sospechas.

Los investigadores de seguridad señalaron que dichos troyanos roban información a menudo apuntan a datos del navegador, credenciales de cuentas e información billetera criptomonedas. A medida que el malware comienza a abusar sistemáticamente del mecanismo de firma y notarización de Apple, los usuarios criptomonedas en el entorno macOS se enfrentan a un riesgo cada vez mayor de phishing y filtración de clave privada.

Se recomienda encarecidamente a los usuarios que se aseguren de que la prevención de amenazas y el control avanzado de amenazas estén habilitados en Jamf para Mac y configurados en modo bloque para defenderse contra estas últimas variantes de malware que roba información.