Новиот MacSync macOS крадец користи потпишана апликација за да го заобиколи Apple Gatekeeper

Истражувачи за сајбер-безбедност открија нова варијанта на macOS крадец на информации наречен MacSync, кој се испорачува преку дигитално потпишана и нотаризирана Swift апликација што се претставува како инсталер за апликација за пораки, со цел да ги заобиколи проверките на Apple Gatekeeper.

„За разлика од претходните варијанти на MacSync Stealer кои главно се потпираа на drag-to-terminal или ClickFix-стил техники, овој примерок применува поизмамнички, ‘hands-off’ пристап“, изјави истражувачот од Jamf, Тијс Хафлаире (Thijs Xhaflaire).

Компанијата за управување со Apple уреди и безбедност соопшти дека најновата верзија се дистрибуира како код-потпишана и нотаризирана Swift апликација во рамки на disk image (DMG) датотека со име „zk-call-messenger-installer-3.9.2-lts.dmg“, хостирана на „zkcall[.]net/download“.

Фактот дека апликацијата е потпишана и нотаризирана значи дека може да се извршува без да биде блокирана или означена од вградените безбедносни механизми како Gatekeeper или XProtect. И покрај тоа, откриено е дека инсталерот прикажува инструкции со кои ги поттикнува корисниците да кликнат со десен клик и да ја отворат апликацијата – вообичаена тактика за заобиколување на ваквите заштити. Apple во меѓувреме го има повлечено сертификатот за код-потпишување.

Swift-базираниот dropper потоа извршува низа проверки пред да преземе и изврши енкодиран скрипт преку помошна компонента. Ова вклучува проверка на интернет конекција, наметнување минимален интервал на извршување од околу 3600 секунди за ограничување на фреквенцијата, како и отстранување на quarantine атрибути и валидација на датотеката пред извршување.

„Особено е значајно што curl командата што се користи за преземање на payload-от покажува јасни отстапувања од претходните варијанти“, објасни Хафлаире. „Наместо вообичаената комбинација -fsSL, параметрите се поделени на -fL и -sS, а воведени се и дополнителни опции како –noproxy.“

„Овие промени, заедно со користењето на динамички пополнети променливи, укажуваат на намерна промена во начинот на кој payload-от се презема и валидира, најверојатно со цел да се подобри сигурноста или да се избегне детекција.“

Друг механизам за избегнување што се користи во кампањата е употребата на невообичаено голема DMG датотека, чија големина е зголемена на 25,5 MB со вметнување на неповрзани PDF документи.

Base64-енкодираната содржина (payload), откако ќе се декодира, одговара на MacSync — ребрендирана верзија на Mac.c што првпат се појави во април 2025 година. Според Moonlock Lab на MacPaw, MacSync доаѓа со целосно функционален агент базиран на Go, кој оди подалеку од едноставно крадење податоци и овозможува далечинска команда и контрола (C2).

Вреди да се напомене дека код-потпишани верзии на малициозни DMG датотеки што имитираат Google Meet исто така се забележани во напади за ширење на други macOS крадци на податоци, како Odyssey. Сепак, заканувачките актери продолжиле да се потпираат и на непотпишани disk image датотеки за испорака на DigitStealer, сè до минатиот месец.

„Оваа промена во дистрибуцијата ја одразува пошироката тенденција во macOS малициозниот екосистем, каде што напаѓачите сè почесто се обидуваат да го протнат малициозниот софтвер во извршни датотеки што се потпишани и нотаризирани, со што изгледаат повеќе како легитимни апликации“, соопшти Jamf.

Извори:

• The Hacker News – New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper The Hacker News