Πρόσφατα είδαμε πώς το ChatGPT χρησιμοποιήθηκε για να ξεγελάσει τους χρήστες Mac ώστε να εγκαταστήσουν το MacStealer και τώρα βρέθηκε μια διαφορετική τακτική για να πείσει τους χρήστες να εγκαταστήσουν μια έκδοση του MacSync Stealer.
Το Mac παραμένει ένας σχετικά δύσκολος στόχος για επιτιθέμενους χάρη στις προστασίες της Apple από την εγκατάσταση κακόβουλου λογισμικού. Ωστόσο, το κακόβουλο λογισμικό Mac αυξάνεται και δύο τακτικές που ανακαλύφθηκαν πρόσφατα από ερευνητές ασφαλείας υπογραμμίζουν τις δημιουργικές προσεγγίσεις που χρησιμοποιούν ορισμένοι εισβολείς…
Υπήρχαν δύο κύριοι λόγοι για τους οποίους το κακόβουλο λογισμικό Mac ήταν σχετικά σπάνιο σε σύγκριση με αυτό για μηχανήματα Windows. Το πρώτο, φυσικά, ήταν το σχετικά χαμηλό μερίδιο αγοράς των Mac. Το δεύτερο ήταν οι ενσωματωμένες προστασίες που περιλαμβάνει η Apple για τον εντοπισμό και τον αποκλεισμό αδίστακτων εφαρμογών.
Καθώς το μερίδιο αγοράς των Mac έχει αυξηθεί, η ελκυστικότητα της πλατφόρμας ως στόχος έχει κάνει το ίδιο, ειδικά δεδομένου ότι τα δημογραφικά στοιχεία της Apple καθιστούν τους χρήστες Mac δελεαστικό στόχο για οικονομικές απάτες ιδιαίτερα.
Όταν προσπαθείτε να εγκαταστήσετε μια νέα εφαρμογή Mac, το macOS ελέγχει ότι έχει επικυρωθεί από την Apple ως υπογεγραμμένη από γνωστό προγραμματιστή. Εάν όχι, αυτό το γεγονός θα επισημανθεί και το macOS καθιστά πλέον μια σχετικά περίπλοκη διαδικασία να παρακάμψετε την προστασία και να την εγκαταστήσετε ούτως ή άλλως.
Νωρίτερα αυτόν τον μήνα, μάθαμε ότι οι εισβολείς χρησιμοποιούν το ChatGPT και άλλα chatbots AI για να ξεγελάσουν τους χρήστες Mac ώστε να επικολλήσουν μια γραμμή εντολών στο Terminal, το οποίο στη συνέχεια εγκαθιστά το Macware. Η εταιρεία κυβερνοασφάλειας Jamf βρήκε τώρα ένα παράδειγμα άλλης προσέγγισης που χρησιμοποιείται.
Πρόγραμμα εγκατάστασης MacSync Stealer
λέει ο Τζαμφ ότι το κακόβουλο λογισμικό είναι μια παραλλαγή του “ολοένα και πιο ενεργού” κακόβουλου λογισμικού MacSync Stealer.
Οι εισβολείς χρησιμοποιούν μια εφαρμογή Swift η οποία έχει υπογραφεί και συμβολαιογραφικά και δεν περιέχει από μόνη της κανένα κακόβουλο λογισμικό. Ωστόσο, η εφαρμογή ανακτά στη συνέχεια ένα κωδικοποιημένο σενάριο από έναν απομακρυσμένο διακομιστή, το οποίο στη συνέχεια εκτελείται για την εγκατάσταση του κακόβουλου λογισμικού.
Αφού επιθεωρήσαμε το δυαδικό Mach-O, το οποίο είναι μια καθολική έκδοση, επιβεβαιώσαμε ότι είναι υπογεγραμμένο με κωδικό και συμβολαιογραφικό. Η υπογραφή σχετίζεται με το αναγνωριστικό ομάδας προγραμματιστή GNJLS3UYZ4.
Επαληθεύσαμε επίσης τους κατακερματισμούς του καταλόγου κωδικών έναντι της λίστας ανάκλησης της Apple και κατά τη στιγμή της ανάλυσης, κανένα δεν είχε ανακληθεί […]
Τα περισσότερα ωφέλιμα φορτία που σχετίζονται με το MacSync Stealer τείνουν να τρέχουν κυρίως στη μνήμη και να αφήνουν ελάχιστα έως καθόλου ίχνη στο δίσκο.
Η εταιρεία λέει ότι οι επιτιθέμενοι χρησιμοποιούν όλο και περισσότερο αυτόν τον τύπο προσέγγισης.
Αυτή η αλλαγή στη διανομή αντικατοπτρίζει μια ευρύτερη τάση σε όλο το τοπίο κακόβουλου λογισμικού macOS, όπου οι εισβολείς προσπαθούν όλο και περισσότερο να εισβάλουν το κακόβουλο λογισμικό τους σε εκτελέσιμα που είναι υπογεγραμμένα και συμβολαιογραφικά, επιτρέποντάς τους να μοιάζουν περισσότερο με νόμιμες εφαρμογές. Χρησιμοποιώντας αυτές τις τεχνικές, οι αντίπαλοι μειώνουν τις πιθανότητες να εντοπιστούν έγκαιρα.
Η Jamf λέει ότι ανέφερε το αναγνωριστικό προγραμματιστή στην Apple και η εταιρεία έχει πλέον ανακαλέσει το πιστοποιητικό.
9to5Mac’s Take
Όπως πάντα, η καλύτερη προστασία από κακόβουλο λογισμικό Mac είναι η εγκατάσταση εφαρμογών μόνο από το Mac App Store και από τους ιστότοπους των προγραμματιστών που εμπιστεύεστε.
Τονισμένα αξεσουάρ
Φωτογραφία από Ραμσίντ επί Ξεβιδώστε
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
