Pag-upgrade ng macOS trojan: Nagpapanggap bilang signed na app para kumalat, mas lihim na panganib para sa mga crypto user

BlockBeats balita, Disyembre 23, ibinahagi ng Chief Information Security Officer ng SlowMist na si 23pds na ang MacSync Stealer na malisyosong software na aktibo sa macOS platform ay nagpakita na ng malinaw na pag-unlad, at may mga user na nawalan na ng asset. Binanggit sa artikulong kanyang ibinahagi na mula sa mga naunang pamamaraan tulad ng "drag to terminal" at "ClickFix" na mababa ang threshold para malinlang ang user, ito ay na-upgrade na sa code signing at na-notarize na Swift application ng Apple, na malaki ang ikinataas ng pagiging tago nito.

Nadiskubre ng mga mananaliksik na ang sample na ito ay kumakalat sa anyo ng disk image na pinangalanang zk-call-messenger-installer-3.9.2-lts.dmg, at ginagamit ang pagpapanggap bilang instant messaging o tool application upang hikayatin ang user na mag-download. Hindi tulad ng dati, ang bagong bersyon ay hindi na nangangailangan ng anumang terminal operation mula sa user, sa halip ay ang built-in na Swift helper program ang kumukuha at nagpapatakbo ng encoded script mula sa remote server upang tapusin ang proseso ng pagnanakaw ng impormasyon.

Ang malisyosong programang ito ay nakumpleto na ang code signing at na-notarize na ng Apple, at ang developer team ID ay GNJLS3UYZ4, at ang kaugnay na hash ay hindi pa nasususpinde ng Apple sa oras ng pagsusuri. Nangangahulugan ito na sa default na macOS security mechanism, mas mataas ang "credibility" nito at mas madaling malusutan ang pagbabantay ng user. Natuklasan din ng pananaliksik na ang DMG na ito ay may hindi pangkaraniwang laki, at naglalaman ng mga LibreOffice na PDF at iba pang mga decoy file upang lalo pang mabawasan ang pagdududa.

Ipinunto ng mga security researcher na ang ganitong uri ng information-stealing trojan ay kadalasang tumatarget sa browser data, account credentials, at impormasyon ng crypto wallet. Habang ang malisyosong software ay nagsisimula nang sistematikong abusuhin ang Apple signing at notarization mechanism, ang mga crypto asset user sa macOS environment ay nahaharap sa tumataas na panganib ng phishing at private key leakage.