Økosystemet til Mac-datamaskiner Den har møtt en trussel som allerede spiller i en annen liga: MacSync-stjeler, en skadelig programvare som spesialiserer seg på å stjele informasjon som infiltrerer datamaskiner utnytte Apples egne pålitelige systemerLangt fra fortidens slurvete virus presenterer denne skadelige programvaren seg som et legitimt og pålitelig program, med en gyldig utviklersignatur og en notarisert verifiseringsprosess, også i Spania og resten av Europa, som analyser viser. cyberangrep på Mac og Linux.
I sine nyeste varianter, denne familien av ondsinnet kode Den kjører som en app skrevet i Swift, signert og notarisert av AppleDette gjør at den kan omgå mange av macOS sine innledende sikkerhetstiltak, inkludert mekanismer som Gatekeeper og XProtect. Dette betydelige spranget gjør tidlig deteksjon vanskeligere og åpner døren for... stille lekkasjer av personlige og bedriftsdata både i hjemlige og profesjonelle miljøer.
Hva er MacSync Stealer, og hvordan har det utviklet seg i macOS?
I sine første opptredener, Infeksjonen var basert på teknikker som krevde eksplisitte brukerhandlingerMetoder som ligner på ClickFix eller de klassiske «kopier og lim inn»-kommandoene i terminalen for å kjøre ondsinnede skript ble brukt. Denne tilnærmingen krevde en større grad av manuell interaksjon, noe som ga brukeren større mulighet til å mistenke at noe var galt og stoppe installasjonen før skaden ble mer omfattende.
Analysene av Jamf Threat LabsDet ledende Apple-sikkerhetslaboratoriet for enheter beskriver en ganske annerledes situasjon i den nyeste varianten. Ifølge rapportene deres har MacSync Stealer gitt en et sprang mot en mye mer automatisert og stillegående infeksjonsmodellminimere synlige tegn for offeret og stole på tilliten som genereres av Apples signatur og notarisering.
Trikset er at den første fasen av angrepet presenteres som en Applikasjon utviklet i Swift, med legitim utvikler-ID, gyldig kodesignatur og bestått notarisbekreftelseFor operativsystemet og for de fleste brukere er denne kombinasjonen synonymt med pålitelig programvare, når den i realiteten er det første leddet i en nøye utformet infeksjonskjede.
I mange tilfeller kommer trusselen forkledd som meldingstjeneste, produktivitetsverktøy eller synkroniseringsverktøyMed et navn, ikon og beskrivelser som høres helt harmløse ut, reduserer denne fasaden ytterligere den første mistanken – en spesielt bekymringsfull detalj i europeiske kontorer, offentlige administrasjoner og selskaper der Mac-en har blitt etablert som et daglig arbeidsverktøy.
Et Swift-installasjonsprogram som omgår Gatekeeper og fungerer som en dropper
Kampanjen beskrevet av Jamf viser at den første komponenten av trusselen fungerer som en dropper skrevet i SwiftEt tilsynelatende legitimt installasjonsprogram hvis egentlige formål er å forberede grunnen og laste ned den faktiske skadelige koden fra en ekstern server. I utgangspunktet var Mach-O-binærfilen som finnes i denne appen... Det ser ut til å være signert og notarisert, tilknyttet en ekte utviklerteam-IDDerfor består den enkelt de første Gatekeeper-kontrollene.
I et av de analyserte tilfellene ble dråpetelleren distribuert som en DMG-diskavbildning med navn på meldingsprogrammetunder navn som «zk-call-messenger-installer-3.9.2-lts.dmg» og ligger på et domene som er forberedt for kampanjen. Installasjonsprogrammet presenterer seg for brukeren som et antatt ringe- og meldingsverktøy, slik at Bare dobbeltklikk for å kjøre den, uten de kompliserte trinnene ved eldre infeksjoner.
Selv om pakken er signert, legger angripere i noen tilfeller til Instruksjoner for å tvinge brukeren til å høyreklikke og velge «Åpne»Dette er et klassisk triks for å omgå ekstra macOS-advarsler når appen ikke kommer fra Mac App Store. Denne lille detaljen, som mange overser, bør gi røde flagg, spesielt hvis programvaren kommer fra et obskurt nettsted.
Når brukeren starter applikasjonen, utfører dropperen en rekke miljøkontroller før man går videre til andre faseBlant annet bekrefter den at datamaskinen har en stabil internettforbindelse, sjekker visse systemforhold og venter i noen tilfeller på en minimum utførelsestid nær 3600 sekunder slik at oppførselen deres ikke virker for umiddelbar eller mistenkelig.
Når betingelsene som angriperne har satt er oppfylt, kobler programmet seg til en ekstern kommando- og kontrollserver å laste ned et kodet skript eller en nyttelast, vanligvis i Base64, som inneholder MacSync Stealer-kjernen. På dette stadiet er koden som er ansvarlig for stjele informasjon og opprettholde kontroll over den kompromitterte Mac-en, mens det første installasjonsprogrammet er begrenset til å fungere som en trojansk hest.
Oppblåste DMG-filer, lokkefuglfiler og nedlastingsendringer for å unngå deteksjon
Et av aspektene som har fanget forskeres oppmerksomhet mest er bruken av store diskbilder fylt med lokkefuglfilerDMG-en som er knyttet til dette installasjonsprogrammet er rundt 25,5 MB, et uvanlig høyt volum for det som på overflaten ser ut til å være et enkelt meldingsprogram eller et lett verktøy.
Ifølge Jamf Threat Labs oppnås denne vekten å fylle opp pakken med irrelevante dokumenter, for eksempel PDF-er eller andre innebygde filer som ikke bidrar til appens funksjonalitet. Den blandingen av fyllstoffinnhold med selve komponenten Dette kompliserer den automatiserte analysen som utføres av antivirus- og sikkerhetsløsninger.som må behandle et større datavolum og skille mellom hva som er legitimt og hva som ikke er det.
Etter at diskavbildningen er montert og applikasjonen er kjørt, starter dropperen en lokal miljøskanning å sjekke alt fra tilkobling til visse systemparametere. Først når det er klart at scenariet er egnet, kontakter den den eksterne infrastrukturen for å laste ned den andre modulen. I mange tilfeller er lastene De kjører primært i minnet, og etterlater et minimalt fotavtrykk på disken. og ytterligere kompliserer påfølgende rettsmedisinsk deteksjon.
Koden som ble lastet ned i denne andre fasen tilsvarer MacSync, en utvikling av en tidligere familie kjent som Mac.cUavhengige undersøkelser indikerer at denne agenten er utviklet i Go og har en rekke funksjoner som går langt utover å bare stjele passord, i tråd med trenden til andre moderne trusler som retter seg mot macOS.
For å toppe det hele finjusterer angriperne til og med sine nedlastingskommandoer som brukes i prosessenBruk av verktøy som f.eks. curl Det gjøres med mindre vanlige parameterkombinasjoner – for eksempel ved å separere den typiske strengen -fsSL på flagg som -fL y -sSog innlemmer alternativer som --noproxy– med sikte på å omgå deteksjonsregler basert på gjentatte mønstre og forbedre påliteligheten til forbindelsen til serverne deres.
Fra datatyv til fjernkontrollplattform
Kjernen i MacSync Stealer går utover den grunnleggende infostealer-kategorien: tekniske analyser beskriver en agent med full kommando- og kontrollfunksjonalitet (C2), forberedt på å opprettholde kontinuerlig kommunikasjon med det berørte teamet og motta instruksjoner i sanntid.
Blant funksjonene som tilskrives denne familien, skiller følgende seg ut: tyveri av legitimasjon, informasjonskapsler for nettlesing, bankkortdata og kryptovaluta lommebøkersamt utvinning av alle typer filer av interesse for angriperne. Tilgang til informasjon lagret i macOS-nøkkelringen Data fra nettlesere som Safari, Chrome eller Firefox er allerede et svært attraktivt mål for økonomiske svindelkampanjer og bedriftsspionasje.
Et annet sensitivt punkt er evnen til å Installer tilleggsmoduler på forespørselDenne modulære tilnærmingen gjør at det kompromitterte teamet kan bli en slags ondsinnet «sveitserkniv»: i dag kan fokuset ligge på å samle inn passord, og i morgen på å logge tastetrykk, kryptere filer, bevege seg sidelengs gjennom et bedriftsnettverk eller distribuere nye verktøy for fjerntilgang.
For brukere og bedrifter i Spania og resten av Europa er denne overgangen fra en enkel datatyv til en fleksibel fjernkontrollplattform Dette representerer et betydelig sprang i risikonivået. En infisert Mac slutter å være bare en engangskilde til stjålet informasjon og blir inngangsport til bedriftsnettverk, skytjenester eller kritiske systemer som enheten har tilgang til.
Dette scenariet passer inn i en bredere trend observert av ulike cybersikkerhetsfirmaer: vedvarende økning i infotyveri og modulære trojanere som retter seg mot macOSDette er drevet av den økende markedsandelen til Apple-utstyr og den økonomiske profilen til brukerne, noe som gjør dem til et spesielt attraktivt mål for nettsvindel.
Apples svar og begrensningene for automatisk beskyttelse i macOS
Etter advarsler fra Jamf Threat Labs og andre sikkerhetsselskaper, Apple har tilbakekalt kodesigneringssertifikatene knyttet til Team ID-en som ble brukt i MacSync Stealer-kampanjen.Med dette tiltaket slutter operativsystemet å stole på applikasjoner signert med den identifikatoren og blokkerer nye versjoner som prøver å bruke den til å distribuere skadelig programvare.
Parallelt har selskapet oppdatert sin interne beskyttelsesmekanismer, som XProtect og Gatekeepermed nye deteksjonsregler og lister over kjente hasher og signaturer. I nåværende versjoner av macOS oppdateres disse svartelistene ofte uten brukerinngripen, så det er viktig holde systemet oppdatert og installer de tilgjengelige oppdateringene for å dra nytte av disse oppdateringene og forbedringene.
Likevel insisterer eksperter på at MacSync Stealer-saken illustrerer en generell trend for skadelig programvare for macOSAngriperne prøver i økende grad å tilpasse koden din til signerte og notariserte kjørbare filerslik at de fremstår som fullstendig legitime og pålitelige applikasjoner. Hvis de oppnår dette, reduseres sannsynligheten for at brukeren mottar tydelige advarsler betydelig.
Rapporter fra Jamf og andre firmaer understreker at selv når Apple tilbakekaller kompromitterte sertifikater, Nettkriminelle kan registrere nye utvikler-ID-er og gjenta den samme strategien.ved å tilpasse små detaljer for å omgå de nylig tillagte reglene. Denne katt-og-mus-leken tvinger de innebygde macOS-forsvarene til å bli supplert med ekstra lag.
Denne konteksten forsterker ideen om at Sikkerhet kan ikke utelukkende avhenge av automatisk beskyttelseSelv om Gatekeeper, XProtect og notariseringsprosessen har hevet standarden betraktelig, viser angrep som MacSync Stealer at tillitsmekanismer også kan brukes mot brukere når noen klarer å slippe appen sin inn i verifiseringskjeden.
Innvirkning på Mac-brukere i Spania og Europa og beste praksis for beskyttelse
Utvidelsen av Mac-en i kontorer, universiteter og boliger i Spania og resten av Europa macOS har blitt et stadig mer attraktivt mål for kriminelle grupper. Det er ikke lenger en nisjeplattform: flere og flere organisasjoner integrerer macOS i infrastrukturen sin, noe som gjør trusler som MacSync Stealer til et stort problem for regionen.
Eksperter anbefaler å styrke både tekniske ferdigheter og daglige vaner. Det første trinnet, tilsynelatende enkelt, men grunnleggende, er Hold macOS og apper oppdatert og utføre regelmessige sikkerhetskopierFordi Apple ofte introduserer nye signaturer og blokkeringsregler for denne typen trusler, åpner det seg for varianter som allerede er dokumentert og oppdatert å ignorere sikkerhetsoppdateringer.
Det legges også vekt på viktigheten av begrens programvareinstallasjon til Mac App Store eller kjente utviklereSelv om installatøren ser ut til å være signert og notarisert, er ikke denne etiketten lenger en absolutt garanti for sikkerhet, noe denne saken viser. Nedlasting av apper fra lenker mottatt via e-post, meldinger eller upålitelige nettsteder øker risikoen for infeksjon betydelig.
En annen nøkkelbrikke er Vær oppmerksom på tillatelsene hver applikasjon ber om.Tilgang til nøkkelringen, brukerdokumenter, nettleserlogg eller tilgjengelighetsfunksjoner er tillatelser som bør gis med måte, spesielt når man har med gratisverktøy av tvilsom opprinnelse å gjøre. Mange vellykkede infeksjoner er nettopp avhengige av dette. overdrevne tillatelser som brukeren selv godtok uten å gjennomgå.
I profesjonelle miljøer, spesielt innenfor EU, er det tilrådelig å supplere Apples forsvar med sikkerhetsløsninger spesielt for macOSEDR-verktøy og tydelige retningslinjer for nedlasting og installasjon av programvare er avgjørende. Disse tiltakene er spesielt relevante for selskaper som er underlagt personvernforskrifter, der en hendelse med tyveri av legitimasjon eller informasjonsutvinning kan føre til straffer og tap av tillit.
Alt som omgir MacSync Stealer viser i hvilken grad Mac-skadevare er ikke lenger en sjeldenhetAngripere er avhengige av signerte og notariserte kjørbare filer, fyller opp diskbilder med lokkefiler, laster ned nyttelaster i andre trinn fra eksterne servere og distribuerer agenter som er i stand til å stjele data og opprettholde fjernkontroll over datamaskiner. I dette scenariet er den gamle ideen om at «Mac-er er virusfrie» definitivt utdatert, og beskyttelse innebærer nå å kombinere Apples innebygde forsvar med god brukspraksis og konstant overvåking for å forhindre at datamaskinen vår er det svakeste leddet i kjeden.