MacSync Stealer er blevet et af de klareste eksempler på, hvordan macOS-malware har taget et spring i kvalitetDet, der plejede at være noget primitive angreb, der krævede, at brugeren kopierede og indsatte kommandoer i terminalen, har nu forvandlet sig til en langt mere diskret trussel, der forklæder sig som fuldstændig legitim software.
Ifølge forskellige analyser fra laboratorier, der specialiserer sig i Apple-enhedssikkerhed, Den seneste variant af denne informationstyv udnytter gyldige digitale signaturer og Apples officielle notariseringsproces.Dette gør det muligt at omgå systemets automatiske filtre, bedrage værktøjer som Gatekeeper eller XProtect og i øvrigt opbygge tillid hos brugere, der antager, at alt, der er notariseret, er sikkert.
En informationstyv forklædt som en legitim app
MacSync Stealer er en En stjæler til macOS med speciale i datatyveri og endda i... fjernbetjening af udstyretDet opstod som en videreudvikling af en trussel kendt som Mac.c, men den nuværende version går et skridt videre: den inkluderer en agent udviklet i Go med flere muligheder end blot at stjæle legitimationsoplysninger.
I de analyserede kampagner, Angrebet når brugeren i form af et installationsprogram til en formodet beskedapplikation.Et af de fundne eksempler er en DMG-diskbilledfil kaldet zk-call-messenger-installer-3.9.2-lts.dmg, hostet på et domæne, der efterligner en kommunikationstjeneste (zkcallnet/download).
Inkluderet i diskbilledet er et program skrevet i Swift, Apples programmeringssprog, underskrevet med et tilsyneladende legitimt udvikler-ID og notariseret af virksomheden selvVed at have en gyldig signatur behandler macOS softwaren som betroet, hvilket reducerer sikkerhedsadvarsler og mindsker mistanken hos den gennemsnitlige bruger.
Selv om det er underskrevet og notariseret, Den skadelige app kan vise yderligere instruktioner, såsom at bede brugeren om at højreklikke og vælge "Åbn" for at omgå yderligere Gatekeeper-begrænsninger, en ret almindelig manøvre i macOS-malwarekampagner.
Fra manuelle metoder til næsten automatisk infektion
De første varianter af denne malware var baseret på ClickFix eller teknikker af typen "træk-til-terminal"Disse angreb tvang offeret til at trække filer ind i Terminalen eller indsætte kommandoer for at køre infektionen. De var irriterende angreb, men de krævede i det mindste bevidst handling fra brugeren.
Den seneste version opgiver den tilgang og vælger en langt mere bekvem en for angribere: en stort set indgrebsfri installationsprocesBrugeren tror, at de installerer en besked- eller produktivitetsapp, og i mellemtiden fungerer installationsprogrammet i Swift som «dropper", det vil sige som en komponent, der downloader og starter den faktiske ondsindede nyttelast.
Når det kører på Mac'en, Softwaren udfører først en miljøscanningTjek blandt andet om der er internetforbindelse tilgængeligDen validerer udførelseskonteksten og sikrer, at minimumsbetingelserne er opfyldt for at fortsætte. Først når alt er i orden, kontakter den en fjernserver under angribernes kontrol.
Fra den server downloades et kodet script og andre moduler, der udgør angrebets anden fase. Brugen af dynamiske variabler og subtile ændringer i downloadkommandoer —for eksempel at opdele almindelige valg af curl eller tilføj parametre som f.eks. --noproxy— peger på en klar intention om at forbedre angrebets pålidelighed og samtidig omgå detektionsregler baseret på kendte mønstre.
Derudover er dropperen Den fjerner karantæneattributter og validerer filer, før de køres.Disse trin er designet til at undgå signaler, der kan afsløre tilstedeværelsen af mistænkelig kode for de sikkerhedsmekanismer, der er indbygget i macOS.
Oppustede DMG-billeder og tricks, der ikke længere er bemærkelsesværdige
En anden funktion, der har fanget forskerholds opmærksomhed, er størrelsen på installationsfilen. MacSync Stealer-kampagnerne bruger usædvanligt store diskbilleder, omkring 25,5 MB.Dette tal opnås ved at oppuste DMG'en med PDF-dokumenter eller andre filer, der ikke har noget at gøre med den faktiske applikation.
Denne fyldning tjener et dobbelt formål: på den ene side, Det får installatøren til at virke mere "seriøs" og professionel Fra brugerens perspektiv har folk en tendens til at være mindre mistænksomme over for større applikationer. På den anden side komplicerer det automatiseret analyse, fordi sikkerhedsløsninger skal behandle langt mere irrelevant information, før de identificerer skadeligt indhold.
Malwaren er også opmærksom på udførelsestid. I nogle eksempler er der observeret oprettelse af en logfil. UserSyncWorker.logDet Det giver tyven mulighed for at holde styr på, hvornår den sidst blev henrettet.Hvis den registrerer, at den allerede har kørt i den sidste time (ca. 3.600 sekunder), stopper den og "sover" indtil senere.
Denne type begrænsning eller "throttling" reducerer mængden af mistænkelig aktivitet på kort tid og Dette gør det vanskeligere for et antivirus- eller overvågningssystem at registrere vedvarende unormal adfærd.I praksis opfører malware sig som en "sovende agent", der går ubemærket hen i det meste af tiden.
Hovedformålet er at give brugeren adgang til information af høj værdi. MacSync Stealer søger blandt andet efter filen login.nøglering-dbhvor macOS gemmer adgangskoder og andre hemmeligheder. For at opnå dette kan det vise falske vinduer, der beder om systemadgangskoden lige efter installationen, hvilket, hvis brugeren ikke er forsigtig, åbner døren for massivt tyveri af legitimationsoplysninger.
Apples reaktion og tendensen inden for macOS-malware
Efter advarsler fra virksomheder som Jamf Threat Labs og andre forskere, Apple har tilbagekaldt signeringscertifikaterne tilknyttet de udviklere, der var involveret i distributionen af MacSync Stealer.Denne tilbagekaldelse forhindrer, at de samme signaturer bruges til at udbrede nye eksempler, der ser ud til at være betroet software.
Alligevel fremhæver hændelsen en ubehagelig realitet: Det faktum, at en ansøgning er underskrevet og notariseret, garanterer ikke i sig selv, at den er sikkerGennemgang og notariseringsprocesser reducerer risici, men de er ikke idiotsikre, og angribere lærer at operere inden for disse margener.
Analytikere peger på en Denne tendens bliver mere og mere tydelig i macOS-trusselsøkosystemet.Cyberkriminelle forsøger at snige deres malware ind i eksekverbare filer, der opfylder alle Apples formelle krav. Ved at udnytte officielle tillidssystemer formår de at fremstå som legitime applikationer, hvilket reducerer sandsynligheden for, at de bliver blokeret, eller vækker mindre mistanke blandt dem, der installerer softwaren.
Denne udvikling passer ind i en bredere kontekst, hvor Platforme, der traditionelt set ses som "mere sikre", såsom macOS eller Linux, er blevet prioriterede mål.Væksten i Mac-flåden i europæiske og spanske virksomheder, såvel som dens tilstedeværelse i kreative, uddannelsesmæssige og administrative miljøer, betyder, at hver stjålet legitimationsoplysninger kan have betydelig værdi på det sorte marked.
For deres vedkommende insisterer eksperterne på, at Sikkerhed kan ikke længere udelukkende delegeres til systemets automatiske lagKombinationen af social engineering – apps, der virker produktive eller til beskeder, omhyggeligt valgte navne, professionelt udseende websteder – og misbrug af gyldige certifikater tvinger brugerne til at udvise ekstrem forsigtighed med software, der downloades fra eksterne officielle kanaler.
MacSync Stealer-sagen tegner et billede, hvor macOS' traditionelle barrierer er stadig nyttige, men de efterlader huller, som ondsindede aktører lærer at udnytte.Tilstedeværelsen af oppustede DMG-installationsprogrammer, automatiseringen af infektion, ændringer i downloadkommandoer og udnyttelsen af Apples betroede infrastruktur viser, i hvilket omfang Mac-malware er blevet professionaliseret, og hvorfor det er stadig vigtigere at gennemgå omhyggeligt, hvad der er installeret, hvor det er downloadet fra, og hvilke tilladelser der gives i hvert trin.
