Aktualizacja trojana na macOS: rozprzestrzenianie się pod postacią podpisanych aplikacji, użytkownicy kryptowalut narażeni na bardziej ukryte zagrożenia

BlockBeats donosi, że 23 grudnia główny specjalista ds. bezpieczeństwa informacji w SlowMist, 23pds, opublikował wpis, w którym podzielił się informacją, że złośliwe oprogramowanie MacSync Stealer, aktywne na platformie macOS, przeszło wyraźną ewolucję i już doszło do kradzieży aktywów użytkowników. W udostępnionym artykule wspomniano, że z początkowych metod polegających na „przeciąganiu do terminala” czy „ClickFix” – czyli niskoprogowych sposobach nakłaniania użytkowników – złośliwe oprogramowanie przeszło na aplikacje Swift z podpisem kodu i notaryzacją Apple, co znacząco zwiększyło jego ukrycie.

Badacze odkryli, że próbka ta rozprzestrzenia się w formie obrazu dysku o nazwie zk-call-messenger-installer-3.9.2-lts.dmg, podszywając się pod komunikator lub aplikację narzędziową, by nakłonić użytkowników do pobrania. W przeciwieństwie do wcześniejszych wersji, nowa wersja nie wymaga od użytkownika żadnych operacji w terminalu – wbudowany program pomocniczy Swift pobiera i wykonuje zakodowany skrypt z zdalnego serwera, realizując proces kradzieży informacji.

To złośliwe oprogramowanie posiada podpis kodu i przeszło notaryzację Apple, a identyfikator zespołu deweloperskiego to GNJLS3UYZ4; podczas analizy powiązane hashe nie zostały jeszcze unieważnione przez Apple. Oznacza to, że w domyślnych mechanizmach bezpieczeństwa macOS ma ono wyższy poziom „wiarygodności” i łatwiej omija czujność użytkowników. Badania wykazały również, że ten plik DMG ma nietypowo duży rozmiar i zawiera pliki przynętowe, takie jak PDF związany z LibreOffice, aby dodatkowo zmniejszyć podejrzenia.

Badacze bezpieczeństwa wskazują, że tego typu trojany kradnące informacje często celują w dane przeglądarki, dane uwierzytelniające kont, a także informacje o portfelach kryptowalutowych. Wraz z tym, jak złośliwe oprogramowanie zaczyna systematycznie nadużywać mechanizmów podpisu i notaryzacji Apple, użytkownicy aktywów kryptowalutowych w środowisku macOS są coraz bardziej narażeni na phishing i wyciek kluczy prywatnych.