Økosystemet i Mac-computere Den er stødt på en trussel, der allerede spiller i en anden liga: MacSync-stjæler, en malware specialiseret i at stjæle information, der infiltrerer computere udnyttelse af Apples egne pålidelige systemerLangt fra fortidens sjuskede vira præsenterer denne skadelige software sig som et legitimt og pålideligt program med en gyldig udviklersignatur og en notariseret verifikationsproces, også i Spanien og resten af Europa, som analyser viser. cyberangreb på Mac og Linux.
I sine seneste varianter, denne familie af ondsindet kode Den kører som en app skrevet i Swift, underskrevet og notariseret af AppleDette gør det muligt at omgå mange af macOS' indledende sikkerhedsforanstaltninger, herunder mekanismer som Gatekeeper og XProtect. Dette betydelige spring gør tidlig detektion vanskeligere og åbner døren for... stille lækager af personlige og virksomhedsdata både i private og professionelle miljøer.
Hvad er MacSync Stealer, og hvordan har det udviklet sig i macOS?
I sine første optrædener, Infektionen var baseret på teknikker, der krævede eksplicitte brugerhandlingerMetoder svarende til ClickFix eller de klassiske "kopiér og indsæt"-kommandoer i Terminalen blev brugt til at køre ondsindede scripts. Denne tilgang krævede en større grad af manuel interaktion, hvilket gav brugeren større mulighed for at mistænke, at noget var galt, og stoppe installationen, før skaden blev mere omfattende.
Analyserne af Jamf Threat LabsDet førende Apple-sikkerhedslaboratorium for enheder beskriver en ret anderledes situation i den seneste variant. Ifølge deres rapporter har MacSync Stealer givet en et spring mod en langt mere automatiseret og lydløs infektionsmodelminimere synlige tegn for offeret og stole på den tillid, der skabes af Apples underskrift og notarbekræftelse.
Tricket er, at den første fase af angrebet præsenteres som en Applikation udviklet i Swift med et legitimt udvikler-ID, gyldig kodesignatur og bestået notarbekræftelseFor operativsystemet og for de fleste brugere er denne kombination synonym med pålidelig software, når den i virkeligheden er det første led i en omhyggeligt designet infektionskæde.
I mange tilfælde ankommer truslen forklædt som beskedtjeneste, produktivitetsværktøj eller synkroniseringsværktøjMed et navn, ikon og beskrivelser, der lyder fuldstændig harmløse, reducerer denne facade yderligere den indledende mistanke – en særligt bekymrende detalje i europæiske kontorer, offentlige forvaltninger og virksomheder, hvor Mac'en er blevet et etableret redskab i det daglige arbejde.
Et Swift-installationsprogram, der omgår Gatekeeper og fungerer som en dropper
Kampagnen beskrevet af Jamf viser, at den første komponent af truslen fungerer som en dropper skrevet i SwiftEt tilsyneladende legitimt installationsprogram, hvis egentlige formål er at forberede og downloade den faktiske skadelige kode fra en fjernserver. I første omgang var Mach-O-binærfilen i denne app... Det ser ud til at være underskrevet og notariseret, og at det er forbundet med et rigtigt udvikler-team-ID.Derfor består den nemt de indledende Gatekeeper-kontroller.
I et af de analyserede tilfælde blev pipetten distribueret som en DMG-diskbillede med navnet på beskedprogrammetunder navne som “zk-call-messenger-installer-3.9.2-lts.dmg” og hostes på et domæne, der er forberedt til kampagnen. Installationsprogrammet præsenterer sig selv for brugeren som et angiveligt opkalds- og beskedværktøj, således at Dobbeltklik blot for at køre det, uden de komplicerede trin ved ældre infektioner.
Selv hvis pakken er signeret, tilføjer angribere i nogle scenarier Instruktioner til at tvinge brugeren til at højreklikke og vælge "Åbn"Dette er et klassisk trick til at omgå yderligere macOS-advarsler, når appen ikke kommer fra Mac App Store. Denne lille detalje, som mange overser, bør vække røde flag, især hvis softwaren kommer fra en obskur hjemmeside.
Når brugeren starter applikationen, udfører dropperen en række miljøtjek inden videreførelse til anden faseBlandt andre trin verificerer den, at computeren har en stabil internetforbindelse, kontrollerer visse systemforhold og venter i nogle tilfælde på en minimum udførelsestid tæt på 3600 sekunder så deres adfærd ikke virker for umiddelbar eller mistænkelig.
Når de betingelser, som angriberne har sat, er opfyldt, opretter programmet forbindelse til en fjernkommando- og kontrolserver at downloade et kodet script eller en nyttelast, normalt i Base64, der indeholder MacSync Stealer-kernen. På dette tidspunkt er den kode, der er ansvarlig for stjæle oplysninger og bevare kontrollen over den kompromitterede Mac, mens det oprindelige installationsprogram er begrænset til at fungere som en trojansk hest.
Oppustede DMG-filer, lokkefuglefiler og downloadændringer for at undgå detektion
Et af de aspekter, der har fanget forskeres opmærksomhed mest, er brugen af store diskbilleder fyldt med lokkefuglefilerDen DMG, der er knyttet til dette installationsprogram, findes omkring 25,5 MB, en usædvanlig høj volumen for, hvad der på overfladen ser ud til at være en simpel beskedapplikation eller et let værktøj.
Ifølge Jamf Threat Labs opnås denne vægt oppuste pakken med irrelevante dokumenter, såsom PDF'er eller andre integrerede filer som ikke bidrager til appens funktionalitet. Den blanding af fyldindhold og den faktiske komponent Dette komplicerer den automatiserede analyse, der udføres af antivirus- og sikkerhedsløsninger.som skal behandle en større mængde data og skelne mellem, hvad der er legitimt, og hvad der ikke er.
Efter montering af diskbilledet og kørsel af applikationen starter dropperen en scanning af lokalt miljø at kontrollere alt fra forbindelse til bestemte systemparametre. Først når det er klart, at scenariet er egnet, kontakter den den eksterne infrastruktur for at downloade det andet modul. I mange tilfælde er belastningerne De kører primært i hukommelsen og efterlader et minimalt fodaftryk på disken. og yderligere komplicerer efterfølgende retsmedicinsk afsløring.
Koden, der downloades i denne anden fase, svarer til MacSync, en udvikling af en tidligere familie kendt som Mac.cUafhængige undersøgelser tyder på, at denne agent er udviklet i Go og har en række funktioner, der går langt ud over blot at stjæle adgangskoder, hvilket følger tendensen hos andre moderne trusler, der er rettet mod macOS.
Som prikken over i'et finjusterer angriberne endda deres downloadkommandoer brugt i processenBrugen af værktøjer som f.eks. curl Det gøres med mindre almindelige parameterkombinationer — for eksempel ved at adskille den typiske streng -fsSL på flag som -fL y -sSog inkorporerer muligheder som f.eks. --noproxy— med det formål at omgåelse af detektionsregler baseret på gentagne mønstre og forbedre pålideligheden af forbindelsen til deres servere.
Fra datatyv til fjernbetjeningsplatform
Kernen i MacSync Stealer går ud over den grundlæggende infostealer-kategori: tekniske analyser beskriver en agent med fuld kommando- og kontrolfunktion (C2), forberedt på at opretholde vedvarende kommunikation med det berørte team og modtage instruktioner i realtid.
Blandt de funktioner, der tilskrives denne familie, skiller følgende sig ud: tyveri af loginoplysninger, browsing cookies, bankkortdata og cryptocurrency tegnebøgersamt udtømning af alle typer filer af interesse for angriberne. Adgang til oplysninger gemt i macOS-nøgleringen Data fra browsere som Safari, Chrome eller Firefox er allerede et meget attraktivt mål for økonomiske svindelkampagner og virksomhedsspionage.
Et andet følsomt punkt er evnen til at Installer yderligere moduler efter behovDenne modulære tilgang gør det muligt for det kompromitterede team at blive en slags ondsindet "schweizerkniv": i dag kan fokus være på at indsamle adgangskoder og i morgen på at logge tastetryk, kryptere filer, bevæge sig lateralt gennem et virksomhedsnetværk eller implementere nye fjernadgangsværktøjer.
For brugere og virksomheder i Spanien og resten af Europa er denne overgang fra en simpel datatyv til en fleksibel fjernbetjeningsplatform Dette repræsenterer et betydeligt spring i risikoniveauet. En inficeret Mac ophører med blot at være en engangskilde til stjålne oplysninger og bliver gateway til virksomhedsnetværk, cloudtjenester eller kritiske systemer som enheden har adgang til.
Dette scenarie passer med en bredere tendens observeret af forskellige cybersikkerhedsfirmaer: vedvarende stigning i infotyve og modulære trojanere, der er målrettet mod macOSDette er drevet af den voksende markedsandel for Apple-udstyr og brugernes økonomiske profil, hvilket gør dem til et særligt attraktivt mål for onlinesvindel.
Apples svar og begrænsningerne ved automatisk beskyttelse i macOS
Efter advarsler fra Jamf Threat Labs og andre sikkerhedsfirmaer, Apple har tilbagekaldt de kodesigneringscertifikater, der er knyttet til det team-ID, der blev brugt i MacSync Stealer-kampagnen.Med denne foranstaltning stopper operativsystemet med at stole på applikationer, der er signeret med den pågældende identifikator, og blokerer nye builds, der forsøger at bruge den til at distribuere skadelig software.
Sideløbende har virksomheden opdateret sin interne beskyttelsesmekanismer, såsom XProtect og Gatekeepermed nye detektionsregler og lister over kendte hashes og signaturer. I nuværende versioner af macOS opdateres disse sortlister ofte uden brugerindgriben, så det er vigtigt holde systemet opdateret og installer de tilgængelige opdateringer for at drage fordel af disse programrettelser og forbedringer.
Alligevel insisterer eksperter på, at MacSync Stealer-sagen illustrerer en generel tendens for malware til macOSAngribere forsøger i stigende grad at indpas din kode i underskrevne og notariserede eksekverbare filerså de fremstår som fuldstændig legitime og troværdige applikationer. Hvis de opnår dette, reduceres sandsynligheden for, at brugeren modtager tydelige advarsler, betydeligt.
Rapporter fra Jamf og andre virksomheder understreger, at selv når Apple tilbagekalder kompromitterede certifikater, Cyberkriminelle kan registrere nye udvikler-ID'er og gentage den samme strategi.ved at tilpasse små detaljer for at omgå de nyligt tilføjede regler. Dette katten-efter-musen-spil tvinger de indbyggede macOS-forsvar til at blive suppleret med yderligere lag.
Denne kontekst forstærker ideen om, at Sikkerhed kan ikke udelukkende afhænge af automatiske beskyttelserSelvom Gatekeeper, XProtect og notariseringsprocessen har hævet barren betydeligt, viser angreb som MacSync Stealer, at tillidsmekanismer også kan bruges mod brugere, når nogen formår at snige deres app ind i verifikationskæden.
Indvirkning på Mac-brugere i Spanien og Europa og bedste praksis for beskyttelse
Udvidelsen af Mac i kontorer, universiteter og boliger i Spanien og resten af Europa macOS er blevet et stadig mere attraktivt mål for kriminelle grupper. Det er ikke længere en nicheplatform: flere og flere organisationer integrerer macOS i deres infrastruktur, hvilket gør trusler som MacSync Stealer til et stort problem for regionen.
Eksperter anbefaler at styrke både tekniske færdigheder og daglige vaner. Det første skridt, der tilsyneladende er simpelt, men grundlæggende, er Hold macOS og apps opdaterede og udføre regelmæssige sikkerhedskopierFordi Apple ofte introducerer nye signaturer og blokeringsregler for disse typer trusler, åbner ignorering af sikkerhedsopdateringer døren for varianter, der allerede er blevet dokumenteret og rettet.
Der lægges også vægt på vigtigheden af begræns softwareinstallation til Mac App Store eller kendte udviklereSelv hvis installationsprogrammet ser ud til at være underskrevet og notariseret, er denne etiket ikke længere en absolut garanti for sikkerhed, som denne sag viser. Download af apps fra links modtaget via e-mail, beskeder eller upålidelige websteder øger risikoen for infektion betydeligt.
En anden nøgledel er Vær opmærksom på de tilladelser, som hver applikation anmoder om.Adgang til nøgleringen, brugerdokumenter, browserhistorik eller tilgængelighedsfunktioner er tilladelser, der bør gives sparsomt, især når man har at gøre med gratis værktøjer af tvivlsom oprindelse. Mange succesfulde infektioner er netop afhængige af dette. overdrevne tilladelser, som brugeren selv accepterede uden at gennemgå.
I professionelle miljøer, især inden for Den Europæiske Union, er det tilrådeligt at supplere Apples forsvar med sikkerhedsløsninger specifikt til macOSEDR-værktøjer og klare politikker for download og installation af software er afgørende. Disse foranstaltninger er især relevante for virksomheder, der er underlagt databeskyttelsesregler, hvor en hændelse med tyveri af legitimationsoplysninger eller informationsudplyndring kan føre til sanktioner og tab af tillid.
Alt omkring MacSync Stealer viser i hvilken grad Mac-malware er ikke længere en sjældenhedAngribere bruger signerede og notariseret eksekverbare filer, oppuster diskbilleder med lokkefiler, downloader andenfase-nyttelast fra eksterne servere og implementerer agenter, der er i stand til at stjæle data og opretholde fjernkontrol over computere. I dette scenarie er den gamle idé om, at "Macs er virusfri", definitivt forældet, og beskyttelse involverer nu at kombinere Apples indbyggede forsvar med god brugspraksis og konstant overvågning for at forhindre vores computer i at være det svageste led i kæden.