Aktualizacja trojana na macOS: Rozprzestrzenianie się przez podpisaną aplikację z szyfrowaniem danych użytkownika zwiększa ryzyko wykrycia

BlockBeats News, 23 grudnia, Chief Security Officer SlowMist 23pds udostępnił post, w którym stwierdził, że złośliwe oprogramowanie MacSync Stealer aktywne na platformie macOS wykazało znaczącą ewolucję, a aktywa użytkowników zostały już skradzione. W artykule udostępnionym przez niego wspomniano, że techniki stosowane na wczesnym etapie, polegające na „przeciąganiu i upuszczaniu do terminala” oraz „ClickFix” w celu łatwego zwabienia ofiar, zostały zaktualizowane do podpisywania kodu i wykorzystywania aplikacji Swift zatwierdzonych przez Apple, co znacznie zwiększyło jego niewykrywalność.

Badacze odkryli, że próbka ta jest rozpowszechniana w formie obrazu dysku o nazwie zk-call-messenger-installer-3.9.2-lts.dmg, podszywając się pod aplikację do komunikacji natychmiastowej lub narzędzie użytkowe, aby zwabić użytkowników do jej pobrania. W przeciwieństwie do wcześniejszych wersji, nowa wersja nie wymaga już żadnych operacji w terminalu ze strony użytkownika, lecz jest pobierana i uruchamiana przez wbudowanego pomocnika Swift zdalnie z serwera w celu przeprowadzenia procesu kradzieży informacji.

To złośliwe oprogramowanie zostało skutecznie podpisane kodem i zatwierdzone przez Apple, a identyfikator zespołu deweloperskiego to GNJLS3UYZ4, a powiązane skróty nie zostały cofnięte przez Apple w momencie analizy. Oznacza to, że cieszy się ono wyższym poziomem „wiarygodności” w domyślnym mechanizmie bezpieczeństwa macOS, co ułatwia obejście czujności użytkownika. Badania wykazały również, że rozmiar pliku DMG jest niezwykle duży i zawiera pliki przynęty, takie jak PDF-y związane z LibreOffice, aby dodatkowo zmniejszyć podejrzenia.

Badacze ds. bezpieczeństwa wskazali, że tego typu trojany kradnące informacje często celują w dane przeglądarki, dane uwierzytelniające konta oraz informacje o portfelach kryptowalutowych. W miarę jak złośliwe oprogramowanie coraz częściej nadużywa mechanizmów podpisywania i zatwierdzania przez Apple, użytkownicy kryptowalut w środowisku macOS stają w obliczu rosnącego ryzyka phishingu i ujawnienia kluczy prywatnych.