Обновление трояна для macOS: распространение под видом подписанных приложений, пользователи шифрования сталкиваются с более скрытыми рисками

23 декабря главный информационный директор SlowMist 23pds опубликовал сообщение о том, что вредоносное программное обеспечение MacSync Stealer, активное на платформе macOS, претерпело значительную эволюцию, и уже были украдены активы пользователей. В перепостенной статье упоминается, что с ранних методов с низким порогом, таких как «перетаскивание в терминал» и «ClickFix», оно перешло к кодовой подписи и приложениям Swift, прошедшим notarized от Apple, что значительно повысило скрытность. Исследователи обнаружили, что этот образ распространяется в форме дискового образа под названием zk-call-messenger-installer-3.9.2-lts.dmg, замаскированного под приложение для мгновенных сообщений или утилиту, чтобы убедить пользователей скачать его. В отличие от предыдущих версий, новая версия не требует от пользователя каких-либо действий в терминале, вместо этого встроенный вспомогательный модуль Swift загружает и выполняет кодированный скрипт с удаленного сервера, завершив процесс кражи информации. Это вредоносное ПО уже получило кодовую подпись и прошло нотариальную проверку Apple, идентификатор команды разработчиков — GNJLS3UYZ4, а соответствующий хеш на момент анализа еще не был отменен Apple. Это означает, что оно имеет более высокую «достоверность» под стандартным механизмом безопасности macOS и легче обходит бдительность пользователей. Исследование также выявило, что объем этого DMG аномально велик и содержит поддельные файлы, такие как PDF, связанные с LibreOffice, чтобы еще больше снизить подозрения. Специалисты по безопасности отмечают, что такие трояны для кражи информации обычно нацелены на данные браузера, учетные данные и информацию о кошельках с криптовалютой. Поскольку вредоносное ПО начинает систематически злоупотреблять механизмами подписи и нотариальной проверки Apple, риски фишинга и утечки закрытых ключей для пользователей криптоактивов в среде macOS находятся на подъеме.