Оновлення троянців macOS: Поширюючись через підписаний додаток, користувачі, що шифрують вірус, стикаються з більшим прихованим ризиком

Новини BlockBeats, 23 грудня, головний спеціаліст із безпеки SlowMist 23pds поділився дописом, у якому зазначив, що шкідливе програмне забезпечення MacSync Stealer, активне на платформі macOS, зазнало значної еволюції, і активи користувачів вже викрадаються. У статті, якою він поділився, зазначалося, що від попередньої залежності від «перетягування в термінал», «ClickFix» та інших методів спонукання з низьким порогом, система перейшла на підписання коду та використання нотаріально завірених додатків Swift від Apple, що значно покращило її прихованість.

Дослідники виявили, що цей зразок поширюється у вигляді образу диска під назвою zk-call-messenger-installer-3.9.2-lts.dmg, замаскованого під програми обміну миттєвими повідомленнями або утиліти, щоб спонукати користувачів до завантаження. На відміну від попередньої версії, нова версія більше не вимагає жодних операцій у терміналі від користувача, а витягується та виконується вбудованим помічником Swift з віддаленого сервера для завершення процесу крадіжки інформації.

Код цього шкідливого програмного забезпечення підписаний та нотаріально засвідчений Apple, ідентифікатор команди розробників — GNJLS3UYZ4, а відповідний хеш не був відкликаний Apple під час аналізу. Це означає, що він має вищий «рівень довіри» згідно з механізмами безпеки macOS за замовчуванням, що полегшує обхід пильності користувача. Дослідження також виявило, що файл DMG надзвичайно великий і містить файли-приманки, пов'язані з PDF-файлами LibreOffice, серед іншого, щоб ще більше зменшити підозри.

Дослідники з безпеки зазначили, що такі трояни, що крадуть інформацію, часто націлені на дані браузера, облікові дані облікових записів та інформацію про криптовалютні гаманці. Оскільки шкідливе програмне забезпечення починає систематично зловживати механізмом підписання та нотаріального засвідчення Apple, користувачі криптовалют у середовищі macOS стикаються зі зростаючим ризиком фішингу та витоку приватних ключів.

Користувачам наполегливо рекомендується переконатися, що в Jamf для Mac увімкнено функції запобігання загрозам та розширений контроль загроз, а також встановлено режим блокування для захисту від цих останніх варіантів шкідливого програмного забезпечення, що викрадає інформацію.