macOS Trojan Upgrades: Распространение через подписанное приложение, шифрование пользователей сталкивается с более скрытым риском

BlockBeats News, 23 декабря, главный директор по безопасности SlowMist 23pds поделился постом, в котором говорится, что вредоносная программа MacSync Stealer, активная на платформе macOS, претерпела значительную эволюцию: пользовательские активы уже похищены. В статье, которой он поделился, упоминается, что если раньше он полагался на "перетаскивание на терминал" и "ClickFix" и другие низкопороговые методы склонения, то теперь он обновился до подписи кода и через нотариально заверенные приложения Apple Swift, что существенно повысило его скрытность.

Исследователи выяснили, что этот образец распространяется в виде образа диска с именем zk-call-messenger-installer-3.9.2-lts.dmg, замаскированного под приложения для обмена мгновенными сообщениями или утилиты, чтобы побудить пользователей к скачиванию. В отличие от прежней, новая версия уже не требует от пользователя никакой терминальной операции, а вытягивается и выполняется встроенным помощником Swift с удаленного сервера для завершения процесса кражи информации.

Это вредоносное ПО было подписано и нотариально заверено Apple, идентификатором команды разработчиков был GNJLS3UYZ4, и соответствующий хэш не был отозван Apple в ходе анализа. Это означает, что он имеет более высокий «уровень доверия» под механизмами защиты macOS по умолчанию, что облегчает обход бдительности пользователей. Исследования также показали, что файл DMG необычайно велик и содержит файлы приманки, связанные, в частности, с PDF LibreOffice, чтобы ещё больше уменьшить подозрения.

Исследователи в области безопасности отметили, что подобные трояны, похищающие информацию, часто нацелены на данные браузера, учетные данные аккаунтов и информацию о криптовалютных кошельках. Поскольку вредоносные программы начинают систематически злоупотреблять механизмом подписания и нотариального удостоверения Apple, пользователи криптовалюты в среде macOS сталкиваются с возрастающим риском фишинга и утечек закрытого ключа.

Пользователям настоятельно рекомендуется обеспечить возможность предотвращения угроз и расширенного контроля угроз в Jamf for Mac и установить режим блокировки для защиты от этих последних вариантов вредоносных программ, похищающих информацию.