Ekosystemet för Mac-datorer Den har stött på ett hot som redan spelar i en annan liga: MacSync-stjälare, en skadlig programvara specialiserad på att stjäla information som infiltrerar datorer utnyttja Apples egna betrodda systemLångt ifrån de slarviga virusen från förr presenterar sig denna skadliga programvara som en legitim och pålitlig applikation, med en giltig utvecklarsignatur och en notariebekräftad verifieringsprocess, även i Spanien och resten av Europa, vilket analyser visar. cyberattacker på Mac och Linux.
I sina senaste varianter, denna familj av skadlig kod Den körs som en app skriven i Swift, signerad och notariebekräftad av AppleDetta gör att det kan kringgå många av macOS initiala säkerhetsåtgärder, inklusive mekanismer som Gatekeeper och XProtect. Detta betydande steg gör tidig upptäckt svårare och öppnar dörren för... tysta läckor av personliga och företagsdata både i hemmiljöer och professionella miljöer.
Vad är MacSync Stealer och hur har det utvecklats i macOS?
I sina första framträdanden, Infektionen förlitade sig på tekniker som krävde explicita användaråtgärderMetoder liknande ClickFix eller de klassiska "kopiera och klistra"-kommandona i terminalen för att köra skadliga skript användes. Denna metod krävde en större grad av manuell interaktion, vilket gav användaren större möjlighet att misstänka att något var fel och stoppa installationen innan skadan blev mer omfattande.
Analyserna av Jamf Threat LabsDet ledande Apple-säkerhetslaboratoriet för enheter beskriver en ganska annorlunda situation i den senaste varianten. Enligt deras rapporter har MacSync Stealer gett en ett steg mot en mycket mer automatiserad och tyst infektionsmodellminimera synliga tecken för offret och förlita sig på det förtroende som skapas av Apples underskrift och notariebekräftelse.
Tricket är att den första fasen av attacken presenteras som en Applikation utvecklad i Swift, med giltigt utvecklar-ID, giltig kodsignatur och godkänd notariebekräftelseFör operativsystemet och för de flesta användare är denna kombination synonym med pålitlig programvara, när den i verkligheten är den första länken i en noggrant utformad infektionskedja.
I många fall anländer hotet förklätt som meddelandetjänst, produktivitetsverktyg eller synkroniseringsverktygMed ett namn, en ikon och beskrivningar som låter helt ofarliga, minskar denna fasad ytterligare de initiala misstankarna – en särskilt oroande detalj på europeiska kontor, offentliga förvaltningar och företag där Mac-datorn har etablerat sig som ett dagligt arbetsverktyg.
Ett Swift-installationsprogram som kringgår Gatekeeper och fungerar som en dropper
Kampanjen som beskrivs av Jamf visar att den första komponenten av hotet fungerar som en dropper skriven i SwiftEtt till synes legitimt installationsprogram vars verkliga syfte är att förbereda marken och ladda ner den faktiska skadliga koden från en fjärrserver. Inledningsvis, Mach-O-binärfilen som finns i den här appen... Det verkar signerat och notariebekräftat, kopplat till ett riktigt utvecklarteam-IDDärför klarar den enkelt de inledande Gatekeeper-kontrollerna.
I ett av de analyserade fallen distribuerades droppflaskan som en DMG-diskavbildning med meddelandeprogrammets namnunder namn som ”zk-call-messenger-installer-3.9.2-lts.dmg” och finns på en domän som förberetts för kampanjen. Installationsprogrammet presenterar sig för användaren som ett förmodat samtals- och meddelandeverktyg, så att Dubbelklicka bara för att köra det, utan de komplicerade stegen vid äldre infektioner.
Även om paketet är signerat, lägger angripare i vissa fall till Instruktioner för att tvinga användaren att högerklicka och välja "Öppna"Detta är ett klassiskt knep för att kringgå ytterligare macOS-varningar när appen inte kommer från Mac App Store. Denna lilla detalj, som många förbiser, borde ge varningssignaler, särskilt om programvaran kommer från en obskyr webbplats.
När användaren startar applikationen utför dropparen en serie miljökontroller innan vi går vidare till den andra fasenBland andra steg verifierar den att datorn har en stabil internetanslutning, kontrollerar vissa systemförhållanden och väntar i vissa fall på en minsta körtid nära 3600 sekunder så att deras beteende inte framstår som alltför omedelbart eller misstänkt.
När de villkor som angriparna ställt upp är uppfyllda ansluter programmet till en fjärrstyrd kommando- och kontrollserver att ladda ner ett kodat skript eller en nyttolast, vanligtvis i Base64, som innehåller MacSync Stealer-kärnan. I detta skede är koden som ansvarar för stjäla information och behålla kontrollen över den komprometterade Mac-datorn, medan det initiala installationsprogrammet är begränsat till att fungera som en trojansk häst.
Uppblåsta DMG-filer, lockbetefiler och nedladdningsändringar för att undvika upptäckt
En av de aspekter som har fångat forskares uppmärksamhet mest är användningen av stora diskavbildningar fyllda med lockbetefilerDMG:n som är associerad med detta installationsprogram finns här 25,5 MB, en ovanligt hög volym för vad som, vid ytan, verkar vara en enkel meddelandeapplikation eller ett lätt verktyg.
Enligt Jamf Threat Labs uppnås denna vikt blåsa upp paketet med irrelevanta dokument, såsom PDF-filer eller andra inbäddade filer som inte bidrar till appens funktionalitet. Den blandningen av utfyllnadsinnehåll med själva komponenten Detta komplicerar den automatiserade analysen som utförs av antivirus- och säkerhetslösningar.som måste behandla en större mängd data och skilja på vad som är legitimt och vad som inte är det.
Efter att diskavbildningen har monterats och programmet körts startar droppern en lokal miljöskanning för att kontrollera allt från anslutning till vissa systemparametrar. Först när det är tydligt att scenariot är lämpligt kontaktar den fjärrinfrastrukturen för att ladda ner den andra modulen. I många fall är lasterna De körs främst i minnet, vilket lämnar ett minimalt fotavtryck på disken. och ytterligare komplicerar efterföljande kriminalteknisk upptäckt.
Koden som laddats ner i denna andra fas motsvarar MacSync, en utveckling av en tidigare familj känd som Mac.cOberoende undersökningar tyder på att denna agent är utvecklad i Go och har en rad funktioner som går långt utöver att bara stjäla lösenord, i linje med trenden med andra moderna hot som riktar sig mot macOS.
Som grädde på moset finjusterar angriparna till och med sina nedladdningskommandon som används i processenAnvändningen av verktyg som t.ex. curl Det görs med mindre vanliga parameterkombinationer – till exempel genom att separera den typiska strängen -fsSL på flaggor som -fL y -sSoch införlivar alternativ som t.ex. --noproxy— med syftet att kringgå detekteringsregler baserade på upprepade mönster och förbättra tillförlitligheten i anslutningen till deras servrar.
Från datatjuv till fjärrstyrningsplattform
Kärnan i MacSync Stealer går bortom den grundläggande informationsstjälarkategorin: tekniska analyser beskriver en agent med fullständiga kommando- och kontrollfunktioner (C2), beredd att upprätthålla kontinuerlig kommunikation med det berörda teamet och ta emot instruktioner i realtid.
Bland de funktioner som tillskrivs denna familj utmärker sig följande: stöld av inloggningsuppgifter, surfningskakor, bankkortsuppgifter och kryptovaluta plånböckersamt exfiltrering av alla typer av filer av intresse för angriparna. Åtkomst till information lagrad i macOS-nyckelringen Data från webbläsare som Safari, Chrome eller Firefox är redan en mycket attraktiv måltavla för ekonomiska bedrägerikampanjer och företagsspionage.
En annan känslig punkt är förmågan att Installera ytterligare moduler på begäranDenna modulära metod gör att det komprometterade teamet kan bli ett slags illvillig "schweizisk armékniv": idag kan tonvikten ligga på att samla in lösenord och imorgon på att logga tangenttryckningar, kryptera filer, förflytta sig i sidled genom ett företagsnätverk eller distribuera nya verktyg för fjärråtkomst.
För användare och företag i Spanien och resten av Europa innebär denna övergång från en enkel datatjuv till en flexibel fjärrstyrningsplattform Detta representerar ett betydande hopp i risknivån. En infekterad Mac upphör att bara vara en engångskälla till stulen information och blir gateway till företagsnätverk, molntjänster eller kritiska system som enheten har åtkomst till.
Detta scenario stämmer överens med en bredare trend som observerats av olika cybersäkerhetsföretag: ihållande ökning av informationsstölder och modulära trojaner som riktar sig mot macOSDetta drivs av den växande marknadsandelen för Apple-utrustning och användarnas ekonomiska profil, vilket gör dem till ett särskilt attraktivt mål för onlinebedrägerier.
Apples svar och begränsningarna för automatiskt skydd i macOS
Efter varningar från Jamf Threat Labs och andra säkerhetsföretag, Apple har återkallat kodsigneringscertifikaten som är kopplade till det team-ID som användes i MacSync Stealer-kampanjen.Med den här åtgärden slutar operativsystemet att lita på program som är signerade med den identifieraren och blockerar nya versioner som försöker använda den för att distribuera skadlig programvara.
Parallellt har företaget uppdaterat sin interna skyddsmekanismer, såsom XProtect och Gatekeepermed nya detekteringsregler och listor över kända hashkoder och signaturer. I nuvarande versioner av macOS uppdateras dessa svartlistor ofta utan användarintervention, så det är viktigt hålla systemet uppdaterat och installera tillgängliga uppdateringar för att dra nytta av dessa patchar och förbättringar.
Ändå hävdar experter att MacSync Stealer-fallet illustrerar en allmän trend för skadlig kod för macOSAngripare försöker alltmer anpassa din kod till signerade och notariebekräftade körbara filerså att de framstår som helt legitima och pålitliga applikationer. Om de uppnår detta minskar sannolikheten avsevärt för att användaren får tydliga varningar.
Rapporter från Jamf och andra företag understryker att även när Apple återkallar komprometterade certifikat, Cyberbrottslingar kan registrera nya utvecklar-ID:n och upprepa samma strategi.genom att anpassa små detaljer för att kringgå de nyligen tillagda reglerna. Denna katt-och-råtta-lek tvingar macOS:s inbyggda försvar att kompletteras med ytterligare lager.
Detta sammanhang förstärker idén att Säkerhet kan inte uteslutande bero på automatiska skyddÄven om Gatekeeper, XProtect och notariseringsprocessen har höjt ribban avsevärt, visar attacker som MacSync Stealer att förtroendemekanismer också kan användas mot användare när någon lyckas smita in sin app i verifieringskedjan.
Påverkan på Mac-användare i Spanien och Europa och bästa praxis för skydd
Expansionen av Mac i kontor, universitet och bostäder i Spanien och resten av Europa macOS har blivit ett alltmer attraktivt mål för kriminella grupper. Det är inte längre en nischplattform: fler och fler organisationer integrerar macOS i sin infrastruktur, vilket gör hot som MacSync Stealer till ett stort problem för regionen.
Experter rekommenderar att stärka både tekniska färdigheter och dagliga vanor. Det första steget, till synes enkelt men grundläggande, är Håll macOS och appar uppdaterade och göra regelbundna säkerhetskopiorEftersom Apple ofta introducerar nya signaturer och blockeringsregler för den här typen av hot, lämnar ignorering av säkerhetsuppdateringar dörren öppen för varianter som redan har dokumenterats och uppdaterats.
Betoning läggs också på vikten av begränsa programvaruinstallationen till Mac App Store eller välkända utvecklareÄven om installationsprogrammet verkar vara signerat och notariebekräftat är den etiketten inte längre en absolut säkerhetsgaranti, vilket det här fallet visar. Att ladda ner appar från länkar som tas emot via e-post, meddelanden eller otillförlitliga webbplatser ökar risken för infektion avsevärt.
En annan viktig del är Var uppmärksam på vilka behörigheter varje applikation begär.Åtkomst till nyckelringen, användardokument, webbhistorik eller tillgänglighetsfunktioner är behörigheter som bör ges sparsamt, särskilt när det gäller gratisprogram av tvivelaktigt ursprung. Många framgångsrika infektioner förlitar sig just på detta. överdrivna behörigheter som användaren själv accepterade utan att granska.
I professionella miljöer, särskilt inom Europeiska unionen, är det lämpligt att komplettera Apples försvar med säkerhetslösningar specifikt för macOSEDR-verktyg och tydliga policyer för nedladdning och installation av programvara är avgörande. Dessa åtgärder är särskilt relevanta för företag som omfattas av dataskyddsregler, där en incident med stöld av inloggningsuppgifter eller informationsläckage kan leda till påföljder och förlorat förtroende.
Allt kring MacSync Stealer visar i vilken utsträckning Mac-skadlig programvara är inte längre en sällsynthetAngripare förlitar sig på signerade och notariebekräftade körbara filer, fyller diskavbildningar med lockbetefiler, laddar ner nyttolaster i andra steget från fjärrservrar och distribuerar agenter som kan stjäla data och upprätthålla fjärrkontroll över datorer. I det här scenariot är den gamla idén att "Mac-datorer är virusfria" definitivt föråldrad, och skyddet innebär nu att kombinera Apples inbyggda försvar med goda användningsrutiner och ständig övervakning för att förhindra att vår dator blir den svagaste länken i kedjan.