Оновлення трояна для macOS: поширення через підписаний додаток із шифруванням даних користувача підвищує ризик прихованості

BlockBeats News, 23 грудня, головний спеціаліст з безпеки SlowMist 23pds поділився постом, у якому зазначив, що шкідливе програмне забезпечення MacSync Stealer, активне на платформі macOS, зазнало значної еволюції, і активи користувачів вже були викрадені. У статті, якою він поділився, згадується, що від початкових методів, які покладалися на "перетягування у термінал" та "ClickFix" для легкого залучення, воно перейшло до підписування коду та використання додатків Swift, нотаризованих Apple, що значно підвищило його прихованість.

Дослідники виявили, що цей зразок поширюється у вигляді образу диска з назвою zk-call-messenger-installer-3.9.2-lts.dmg, замаскованого під додаток для миттєвого обміну повідомленнями або утиліту, щоб спонукати користувачів до завантаження. На відміну від попередніх версій, нова версія більше не вимагає жодних операцій у терміналі від користувача, а натомість завантажується та виконується вбудованим Swift-помічником із віддаленого сервера для здійснення процесу крадіжки інформації.

Це шкідливе ПЗ було успішно підписане кодом і нотаризоване Apple, ідентифікатор команди розробників — GNJLS3UYZ4, а відповідні хеші на момент аналізу не були відкликані Apple. Це означає, що воно користується вищим рівнем "довіри" за замовчуванням у механізмі безпеки macOS, що полегшує обходження пильності користувачів. Дослідження також виявило, що розмір DMG-файлу є незвично великим і містить файли-приманки, такі як PDF, пов’язані з LibreOffice, для подальшого зниження підозр.

Дослідники з безпеки зазначили, що такі трояни, які викрадають інформацію, часто націлені на дані браузера, облікові дані та інформацію про криптовалютні гаманці. Оскільки шкідливе ПЗ дедалі частіше зловживає механізмами підпису та нотаризації Apple, користувачі криптовалют у середовищі macOS стикаються з підвищеними ризиками фішингу та витоку приватних ключів.