Atualização do Trojan para macOS: propagação através de aplicativo assinado com encriptação de dados do usuário aumenta risco de furtividade

BlockBeats News, 23 de dezembro, o Diretor de Segurança da SlowMist, 23pds, compartilhou uma publicação afirmando que o malware MacSync Stealer ativo na plataforma macOS apresentou uma evolução significativa, com ativos de usuários já tendo sido roubados. O artigo compartilhado por ele mencionou que, desde as técnicas iniciais que dependiam de "arrastar e soltar no terminal" e "ClickFix" para atrair facilmente as vítimas, o malware evoluiu para assinatura de código e utilização de aplicações Swift autenticadas pela Apple, aumentando significativamente sua furtividade.

Pesquisadores descobriram que este exemplar está sendo distribuído na forma de uma imagem de disco chamada zk-call-messenger-installer-3.9.2-lts.dmg, disfarçada como uma aplicação de mensagens instantâneas ou utilitário para atrair usuários a fazer o download. Diferente do passado, a nova versão não exige mais nenhuma operação no terminal por parte do usuário, sendo executada por um assistente Swift embutido, baixado de um servidor remoto, para realizar o processo de roubo de informações.

Este malware foi devidamente assinado e autenticado pela Apple, com o ID da equipe de desenvolvedores GNJLS3UYZ4, e os hashes relacionados não haviam sido revogados pela Apple no momento da análise. Isso significa que ele possui maior "confiabilidade" sob o mecanismo de segurança padrão do macOS, facilitando a evasão da vigilância dos usuários. A pesquisa também descobriu que o tamanho do arquivo DMG é incomumente grande, contendo arquivos isca como PDFs relacionados ao LibreOffice para reduzir ainda mais a suspeita.

Pesquisadores de segurança apontaram que trojans desse tipo, voltados para roubo de informações, frequentemente têm como alvo dados de navegadores, credenciais de contas e informações de carteiras de criptomoedas. À medida que malwares abusam cada vez mais dos mecanismos de assinatura e autenticação da Apple, os usuários de criptomoedas no ambiente macOS enfrentam riscos crescentes de phishing e exposição de chaves privadas.