По данным поставщика решений для управления и безопасности устройств Apple, Jamf, вредоносное ПО для macOS MacSync Stealer теперь может заражать компьютеры жертв, используя приложение, которое выглядит как легитимное, с минимальным участием пользователя.
До сих пор macOS-кампании нуждались в том, чтобы убедить пользователей запускать зараженные приложения с помощью относительно навязчивых методов, таких как социальная инженерия ClickFix или продвинутая macOS-рутина “перетащи-в-терминал”.
MacSync Stealer, напротив, загружается с обычного URL-адреса утилиты как подписанное кодом и заверенное Swift-приложение. После того, как пользователь инициирует установку, дроппер извлекает скрипт вредоносной нагрузки с командно-контрольного сервера.
Одна странность заключается в том, что загрузка по-прежнему предлагает жертвам запустить его, щелкнув правой кнопкой мыши и открыв, хотя подписанному исполняемому файлу технически это не нужно для заражения.
Новизна заключается в его обманчивом происхождении: поскольку вредоносное ПО подписано тем, кого macOS считает законным разработчиком, и не было обнаружено как вредоносное, не требуется никаких предупреждений или дополнительных действий. Это обращает внимание на слабость в системе безопасности Apple Gatekeeper – преступники могут постоянно переформулировать свое вредоносное ПО, чтобы избежать автоматизированной системы обнаружения и нотариального заверения Apple.
Это дает злоумышленникам окно для эксплуатации. По данным Jamf, учетные данные сертификата вредоносного ПО были отозваны только после того, как компания сообщила об этой проблеме в Apple.
Признак расширения
MacSync Stealer — это последний пример растущего числа экономически мотивированных вредоносных программ для macOS. Цель состоит в том, чтобы украсть данные у ценных пользователей, включая учетные данные, ключи API и данные криптокошелька.
Истоки вредоносного ПО лежат в более раннем Mac infostealer, Mac.c Stealer, привлекательность которого заключалась в том, что его могли дешево купить начинающие киберпреступники. Однако в течение нескольких недель после его появления в апреле это было переименовано в MacSync и добавлены более продвинутые функции.
Также было замечено, что другой macOS stealer, Odyssey infostealer, использует ту же технику распространения.
«Хотя MacSync Stealer сам по себе не является чем-то совершенно новым, этот случай подчеркивает, как его авторы продолжают развивать свои методы доставки», — сказали в Jamf.
«Этот сдвиг в распространении отражает более широкую тенденцию в ландшафте вредоносного ПО для macOS, когда злоумышленники все чаще пытаются проникнуть со своим вредоносным ПО в исполняемые файлы, которые подписаны и заверены, что позволяет им больше походить на законные приложения».
Хотя “рынок” вредоносного ПО для Mac может показаться небольшим по объему по сравнению с Windows, это в значительной степени отражает тот факт, что ПК остаются основной операционной системой, используемой предприятиями. Тем не менее, преступники заметили, что дополнительное время разработки, необходимое для вредоносного ПО для Mac, все больше окупается.
Примеры, нацеленные на предприятия и ценных лиц с 2025 года, включают семейство macOS Ferret и кампании в социальных сетях BlueNoroff, связанные с северокорейскими хакерами, обе связанные с кражей криптовалюты. Другой пример — Atomic malware-as-a-service (MaaS) infostealer, связанный с российскими киберпреступниками.
(*) Имейте ввиду, редакции некоторых западных изданий придерживаются предвзятых взглядов в освящении некоторых новостей, связанных с Россией.
8/9
Автор – John E. Dunn
