ارتقاء تروجان macOS: گسترش از طریق برنامه امضا شده، کاربران رمزگذاری شده با خطر پنهان بیشتری روبرو هستند

در تاریخ ۲۳ دسامبر، BlockBeats News، مدیر ارشد امنیتی SlowMist، پستی را به اشتراک گذاشت که در آن آمده بود بدافزار MacSync Stealer که در پلتفرم macOS فعال است، تکامل قابل توجهی داشته و دارایی‌های کاربران در حال حاضر به سرقت رفته است. در مقاله‌ای که توسط او به اشتراک گذاشته شده، اشاره شده است که از اتکای قبلی به «کشیدن و رها کردن به ترمینال» و «ClickFix» و سایر روش‌های القای آستانه پایین، به امضای کد ارتقا یافته و از طریق اپل، برنامه‌های Swift را تأیید رسمی کرده است که به طور قابل توجهی مخفی‌کاری آن را بهبود می‌بخشد.

محققان دریافتند که این نمونه در قالب یک تصویر دیسک با نام zk-call-messenger-installer-3.9.2-lts.dmg پخش می‌شود و خود را به عنوان برنامه‌های پیام‌رسان فوری یا برنامه‌های کاربردی کاربردی جا می‌زند تا کاربران را به دانلود ترغیب کند. برخلاف قبل، نسخه جدید دیگر نیازی به هیچ عملیات ترمینالی توسط کاربر ندارد، بلکه توسط یک کمک‌کننده داخلی Swift از یک سرور راه دور برای تکمیل فرآیند سرقت اطلاعات، دریافت و اجرا می‌شود.

این بدافزار توسط اپل امضا و تأیید شده است و شناسه تیم توسعه‌دهنده آن GNJLS3UYZ4 است و هش مربوطه در طول تجزیه و تحلیل توسط اپل لغو نشده است. این بدان معناست که تحت سازوکارهای امنیتی پیش‌فرض macOS، «سطح اعتماد» بالاتری دارد و دور زدن هوشیاری کاربر را آسان‌تر می‌کند. تحقیقات همچنین نشان داد که فایل DMG به طور غیرمعمولی بزرگ است و حاوی فایل‌های فریبنده مربوط به PDFهای LibreOffice و موارد دیگر است تا سوءظن را بیشتر کاهش دهد.

محققان امنیتی خاطرنشان کردند که چنین تروجان‌های سارق اطلاعاتی اغلب داده‌های مرورگر، اطلاعات حساب کاربری و اطلاعات کیف پول ارزهای دیجیتال را هدف قرار می‌دهند. همزمان با شروع سوءاستفاده سیستماتیک بدافزارها از مکانیسم امضا و تأیید هویت اپل، کاربران ارزهای دیجیتال در محیط macOS با خطر فزاینده فیشینگ و افشای کلید خصوصی مواجه هستند.

به کاربران اکیداً توصیه می‌شود که برای دفاع در برابر این جدیدترین انواع بدافزارهای سارق اطلاعات، اطمینان حاصل کنند که پیشگیری از تهدید و کنترل پیشرفته تهدید در Jamf برای مک فعال شده و در حالت مسدودسازی قرار دارند.