ارتقاء تروجان macOS: گسترش از طریق برنامه امضا شده، کاربران رمزگذاری شده با خطر پنهان بیشتری روبرو هستند
در تاریخ ۲۳ دسامبر، BlockBeats News، مدیر ارشد امنیتی SlowMist، پستی را به اشتراک گذاشت که در آن آمده بود بدافزار MacSync Stealer که در پلتفرم macOS فعال است، تکامل قابل توجهی داشته و داراییهای کاربران در حال حاضر به سرقت رفته است. در مقالهای که توسط او به اشتراک گذاشته شده، اشاره شده است که از اتکای قبلی به «کشیدن و رها کردن به ترمینال» و «ClickFix» و سایر روشهای القای آستانه پایین، به امضای کد ارتقا یافته و از طریق اپل، برنامههای Swift را تأیید رسمی کرده است که به طور قابل توجهی مخفیکاری آن را بهبود میبخشد.
محققان دریافتند که این نمونه در قالب یک تصویر دیسک با نام zk-call-messenger-installer-3.9.2-lts.dmg پخش میشود و خود را به عنوان برنامههای پیامرسان فوری یا برنامههای کاربردی کاربردی جا میزند تا کاربران را به دانلود ترغیب کند. برخلاف قبل، نسخه جدید دیگر نیازی به هیچ عملیات ترمینالی توسط کاربر ندارد، بلکه توسط یک کمککننده داخلی Swift از یک سرور راه دور برای تکمیل فرآیند سرقت اطلاعات، دریافت و اجرا میشود.
این بدافزار توسط اپل امضا و تأیید شده است و شناسه تیم توسعهدهنده آن GNJLS3UYZ4 است و هش مربوطه در طول تجزیه و تحلیل توسط اپل لغو نشده است. این بدان معناست که تحت سازوکارهای امنیتی پیشفرض macOS، «سطح اعتماد» بالاتری دارد و دور زدن هوشیاری کاربر را آسانتر میکند. تحقیقات همچنین نشان داد که فایل DMG به طور غیرمعمولی بزرگ است و حاوی فایلهای فریبنده مربوط به PDFهای LibreOffice و موارد دیگر است تا سوءظن را بیشتر کاهش دهد.
محققان امنیتی خاطرنشان کردند که چنین تروجانهای سارق اطلاعاتی اغلب دادههای مرورگر، اطلاعات حساب کاربری و اطلاعات کیف پول ارزهای دیجیتال را هدف قرار میدهند. همزمان با شروع سوءاستفاده سیستماتیک بدافزارها از مکانیسم امضا و تأیید هویت اپل، کاربران ارزهای دیجیتال در محیط macOS با خطر فزاینده فیشینگ و افشای کلید خصوصی مواجه هستند.
به کاربران اکیداً توصیه میشود که برای دفاع در برابر این جدیدترین انواع بدافزارهای سارق اطلاعات، اطمینان حاصل کنند که پیشگیری از تهدید و کنترل پیشرفته تهدید در Jamf برای مک فعال شده و در حالت مسدودسازی قرار دارند.