macOS Trojan Upgrades: A propagação através de aplicativos assinados, criptografando usuários enfrentam mais risco oculto

BlockBeats News, 23 de dezembro, SlowMist Chief Security Officer 23pds compartilhou um post afirmando que o malware MacSync Stealer ativo na plataforma macOS passou por uma evolução significativa, com os ativos dos usuários já sendo roubados. O artigo compartilhado por ele mencionou que a partir da dependência anterior em "drag-and-drop to Terminal" e "ClickFix" e outros métodos de indução de baixo limiar, ele atualizou para a assinatura de código e através de aplicativos Swift notariados da Apple, melhorando significativamente sua stealthiness.

Os pesquisadores descobriram que esta amostra está sendo espalhada na forma de uma imagem de disco chamada zk-call-messenger-installer-3.9.2-lts.dmg, disfarçada como mensagens instantâneas ou aplicativos de utilidade para induzir os usuários a baixar. Ao contrário de antes, a nova versão não requer mais qualquer operação do terminal pelo usuário, mas é puxada e executada por um ajudante Swift integrado a partir de um servidor remoto para completar o processo de roubo de informações.

Este malware foi assinado por código e notariado pela Apple, com o ID da equipe de desenvolvimento sendo GNJLS3UYZ4, e o hash relacionado não foi revogado pela Apple durante a análise. Isso significa que ele tem um "nível de confiança" mais alto sob os mecanismos de segurança padrão do macOS, tornando mais fácil contornar a vigilância do usuário. A pesquisa também descobriu que o arquivo DMG é excepcionalmente grande, contendo arquivos decoy relacionados a PDFs do LibreOffice, entre outros, para reduzir ainda mais a suspeita.

Pesquisadores de segurança apontaram que esses trojans que roubam informações muitas vezes visam dados do navegador, credenciais de conta e informações de carteira de criptomoedas. À medida que o malware começa a abusar sistematicamente do mecanismo de assinatura e notariado da Apple, os usuários de criptomoedas no ambiente macOS estão enfrentando um risco crescente de phishing e vazamentos de chave privada.

Os usuários são fortemente aconselhados a garantir que a prevenção de ameaças e o controle avançado de ameaças estejam habilitados no Jamf para Mac e definidos no modo de bloqueio para se defender contra estas últimas variantes de malware de roubo de informações.