macOS Trojan Aggiornamenti: Diffusione attraverso l'app firmata, crittografia degli utenti più rischioso

BlockBeats News, 23 dicembre, SlowMist Chief Security Officer 23pds ha condiviso un post in cui afferma che il malware MacSync Stealer attivo sulla piattaforma macOS ha subito un'evoluzione significativa, con le risorse degli utenti già rubate. L'articolo da lui condiviso menzionava che dalla precedente dipendenza da "drag-and-drop to Terminal" e "ClickFix" e altri metodi di persuasione a bassa soglia, è passato alla firma del codice e tramite Apple ha autenticato le applicazioni Swift, migliorando significativamente la sua furtività.

I ricercatori hanno scoperto che questo campione viene diffuso sotto forma di un'immagine disco denominata zk-call-messenger-installer-3.9.2-lts.dmg, mascherata da applicazioni di messaggistica istantanea o utility per indurre gli utenti a scaricare. A differenza di prima, la nuova versione non richiede più alcuna operazione da terminale da parte dell'utente ma viene tirata ed eseguita da un helper Swift integrato da un server remoto per completare il processo di furto di informazioni.

Questo malware è stato firmato e autenticato da Apple, con l'ID del team di sviluppatori GNJLS3UYZ4 e il relativo hash non è stato revocato da Apple durante l'analisi. Ciò significa che ha un "livello di fiducia" più elevato sotto i meccanismi di sicurezza predefiniti di macOS, rendendo più facile bypassare la vigilanza degli utenti. La ricerca ha anche scoperto che il file DMG è insolitamente grande, contenente file di esca relativi ai PDF LibreOffice, tra gli altri, per ridurre ulteriormente i sospetti.

I ricercatori di sicurezza hanno sottolineato che tali trojan che rubano informazioni spesso prendono di mira i dati del browser, le credenziali dell'account e le informazioni del portafoglio di criptovalute. Mentre il malware inizia ad abusare sistematicamente del meccanismo di firma e notarizzazione di Apple, gli utenti di criptovalute nell'ambiente macOS stanno affrontando un rischio crescente di phishing e perdite di chiave privata.

Si consiglia vivamente agli utenti di assicurarsi che la prevenzione delle minacce e il controllo avanzato delle minacce siano abilitati in Jamf per Mac e impostati sulla modalità di blocco per difendersi da queste ultime varianti di malware che rubano informazioni.