macOS Trojan Aktualizacje: Rozprzestrzenianie się za pośrednictwem aplikacji Signed, szyfrowanie użytkowników stwarza więcej ukrytych zagrożeń

BlockBeats News, 23 grudnia, SlowMist Chief Security Officer 23pds podzielił się postem stwierdzającym, że złośliwe oprogramowanie MacSync Stealer aktywne na platformie macOS przeszło znaczącą ewolucję, a aktywa użytkowników są już kradzione. W artykule udostępnionym przez niego wspomniano, że od wcześniejszego polegania na "drag-and-drop do terminalu" i "ClickFix" i innych metodach indukcji o niskim progu, uaktualnił się do podpisywania kodów i za pośrednictwem Apple notarialnych aplikacji Swift, znacznie poprawiając jego tajność.

Naukowcy odkryli, że ta próba rozprzestrzenia się w postaci obrazu dysku o nazwie zk-call-messenger-installer-3.9.2-lts.dmg, ukrytego jako aplikacja do komunikacji błyskawicznej lub narzędzia, aby skłonić użytkowników do pobrania. W przeciwieństwie do poprzednich wersji, nowa wersja nie wymaga już żadnej operacji terminala przez użytkownika, ale jest ściągnięta i wykonywana przez wbudowanego pomocnika Swift z serwera zdalnego, aby zakończyć proces kradzieży informacji.

Ten złośliwy program został podpisany kodowo i notarialnie przez Apple, z ID zespołu programisty GNJLS3UYZ4, a powiązany hash nie został odwołany przez Apple podczas analizy. Oznacza to, że ma wyższy "poziom zaufania" w ramach domyślnych mechanizmów zabezpieczeń macOS, co ułatwia obejście czujności użytkownika. Badania wykazały również, że plik DMG jest wyjątkowo duży, zawierający pliki decoy związane między innymi z plikami PDF LibreOffice, aby jeszcze bardziej zmniejszyć podejrzenia.

Badacze bezpieczeństwa wskazywali, że takie trojanki kradnące informacje często ukierunkowane są na dane przeglądarki, dane o koncie i informacje o portfelu kryptowalutowym. W miarę jak złośliwe oprogramowanie zaczyna systematycznie nadużywać mechanizmu podpisania i notarialnego firmy Apple, użytkownicy kryptowalut w środowisku macOS narażeni są na rosnące ryzyko phishing i wycieku klucza prywatnego.

Użytkownikom zaleca się upewnić się, że zapobieganie zagrożeniom i zaawansowana kontrola zagrożeń są włączone w Jamf for Mac i ustawione na tryb blokowania, aby bronić się przed tymi najnowszymi wariantami szkodliwego oprogramowania kradzieży informacji.