Оновлення трояна для macOS: поширюється під виглядом підписаних додатків, користувачі криптовалют стикаються з більш прихованими ризиками

BlockBeats повідомляє, що 23 грудня головний спеціаліст з інформаційної безпеки SlowMist 23pds поділився дописом, у якому зазначив, що шкідливе програмне забезпечення MacSync Stealer, активне на платформі macOS, зазнало значної еволюції, і вже є випадки крадіжки активів користувачів. У статті, яку він поширив, йдеться про те, що з ранніх методів, які базувалися на "перетягуванні в термінал", "ClickFix" та інших простих способах заманювання, шкідливе ПЗ перейшло до використання підписаних кодів і додатків на Swift, які пройшли нотаризацію Apple, що значно підвищило його прихованість.

Дослідники виявили, що цей зразок поширюється у вигляді образу диска під назвою zk-call-messenger-installer-3.9.2-lts.dmg, маскуючись під додатки для миттєвого обміну повідомленнями або утиліти, щоб спонукати користувачів до завантаження. На відміну від попередніх версій, нова версія не потребує жодних дій користувача в терміналі, а вбудована допоміжна програма Swift завантажує та виконує закодований скрипт із віддаленого сервера, завершуючи процес крадіжки інформації.

Ця шкідлива програма вже має підпис коду і пройшла нотаризацію Apple, ідентифікатор команди розробників — GNJLS3UYZ4, а відповідний хеш на момент аналізу ще не був відкликаний Apple. Це означає, що в умовах стандартних механізмів безпеки macOS вона має вищий "рівень довіри" і легше обходить пильність користувачів. Дослідження також показало, що розмір цього DMG-файлу аномально великий, він містить файли-приманки, такі як PDF, пов’язані з LibreOffice, для подальшого зниження підозр.

Дослідники з безпеки зазначають, що подібні трояни-інфостілери зазвичай націлені на дані браузера, облікові дані та інформацію про криптогаманці. Оскільки шкідливе ПЗ почало системно зловживати підписом і нотаризацією Apple, ризики фішингу та витоку приватних ключів для користувачів криптоактивів у середовищі macOS зростають.