Νέο κακόβουλο λογισμικό MacSync Stealer που επιτίθεται σε χρήστες macOS χρησιμοποιώντας εφαρμογές με ψηφιακή υπογραφή

Μια νέα έκδοση του κακόβουλου λογισμικού MacSync Stealer στοχεύει χρήστες macOS μέσω ψηφιακά υπογεγραμμένων και συμβολαιογραφικών εφαρμογών, σηματοδοτώντας μια σημαντική αλλαγή στον τρόπο με τον οποίο παρέχεται αυτή η απειλή.

Σε αντίθεση με παλαιότερες εκδόσεις που απαιτούσαν από τους χρήστες να επικολλούν εντολές στο Terminal, αυτή η ενημερωμένη παραλλαγή λειτουργεί αθόρυβα στο παρασκήνιο.

Το κακόβουλο λογισμικό έρχεται μεταμφιεσμένο ως νόμιμο πρόγραμμα εγκατάστασης, διανέμεται μέσω ενός ψεύτικου ιστότοπου με το όνομα zk-call-messenger-installer-3.9.2-lts.dmg.

Μόλις εγκατασταθεί, κατεβάζει και εκτελεί ένα κρυφό σενάριο που κλέβει ευαίσθητες πληροφορίες από τον υπολογιστή του θύματος.

Το κακόβουλο λογισμικό συσκευάζεται ως εφαρμογή Swift και έχει υπογραφεί με το αναγνωριστικό ομάδας προγραμματιστών της Apple GNJLS3UYZ4, το οποίο του επιτρέπει να παρακάμπτει τις αρχικές προειδοποιήσεις ασφαλείας που συνήθως εμφανίζει το macOS για μη αξιόπιστο λογισμικό.

Την εποχή που το βρήκαν οι ερευνητές, η Apple δεν είχε ανακαλέσει ακόμη το πιστοποιητικό, πράγμα που σημαίνει ότι το κακόβουλο λογισμικό μπορούσε να εγκατασταθεί χωρίς να ενεργοποιήσει ειδοποιήσεις. Το αρχείο εικόνας δίσκου είναι ασυνήθιστα μεγάλο στα 25,5 MB επειδή περιέχει πλαστά αρχεία PDF που σχετίζονται με το LibreOffice για να φαίνεται πιο νόμιμο.

Όταν μεταφορτώθηκε στο VirusTotal, ορισμένες μηχανές προστασίας από ιούς το εντόπισαν ως γενικό πρόγραμμα λήψης συνδεδεμένο με νομίσματα ή οικογένειες κακόβουλου λογισμικού ooiid.

αναλυτές της Jamf αναγνωρισθείς αυτό το κακόβουλο λογισμικό κατά τον έλεγχο των συστημάτων ανίχνευσης για ασυνήθιστη δραστηριότητα. Παρατήρησαν ότι το κακόβουλο λογισμικό δεν ακολουθούσε τα τυπικά μοτίβα που παρατηρήθηκαν σε προηγούμενες καμπάνιες MacSync, οι οποίες συνήθως βασίζονταν σε τεχνικές μεταφοράς σε τερματικό ή ClickFix.

Αυτή η νέα προσέγγιση καταργεί την ανάγκη για αλληλεπίδραση χρήστη με το Terminal, καθιστώντας πολύ πιο δύσκολο για τα θύματα να συνειδητοποιήσουν ότι δέχονται επίθεση.

Μετά την επιβεβαίωση της απειλής, η Jamf Threat Labs ανέφερε το κακόβουλο αναγνωριστικό ομάδας προγραμματιστή στην Apple και το πιστοποιητικό έκτοτε ανακλήθηκε.

Εκτέλεση και παράδοση ωφέλιμου φορτίου βάσει Swift

Το κακόβουλο λογισμικό χρησιμοποιεί ένα βοηθητικό πρόγραμμα που έχει δημιουργηθεί από το Swift που ονομάζεται runtimectl που χειρίζεται ολόκληρη τη διαδικασία μόλυνσης. Όταν ξεκινά το πρόγραμμα, ελέγχει εάν ο υπολογιστής έχει σύνδεση στο Διαδίκτυο χρησιμοποιώντας τη συνάρτηση checkInternet().

Εάν συνδεθεί, προχωρά στη λήψη του ωφέλιμου φορτίου δεύτερου σταδίου από το hxxps://gatemaden[.]space/curl/985683bd660c0c47c6be513a2d1f0a554d52d241714bb17fb18ab0d0f8cc2dc6 χρησιμοποιώντας μια εντολή curl.

Το σενάριο αποθηκεύεται στο /tmp/runner και στη συνέχεια ελέγχεται για να βεβαιωθείτε ότι είναι έγκυρο σενάριο φλοιού εκτελώντας το /usr/bin/file –mime-type -b για να επιβεβαιώσετε ότι ταιριάζει με κείμενο/x-shellscript.

Πριν από την εκτέλεση του ωφέλιμου φορτίου, το κακόβουλο λογισμικό αφαιρεί τη σημαία com.apple.quarantine χρησιμοποιώντας removeQuarantine(at:) και ορίζει τα δικαιώματα αρχείου σε 750 για να το κάνει εκτελέσιμο.

Δημιουργεί επίσης αρχεία καταγραφής στο ~/Library/Logs/UserSyncWorker.log και παρακολουθεί αρχεία στο ~/Library/Application Support/UserSyncWorker/ για να καταγράφει τη δραστηριότητα και να αποτρέπει την υπερβολική συχνή εκτέλεση του κακόβουλου λογισμικού.

Ένας μηχανισμός περιορισμού ρυθμού διασφαλίζει ότι το κακόβουλο λογισμικό εκτελείται μόνο μία φορά κάθε 3600 δευτερόλεπτα.

Μετά την εκτέλεση του σεναρίου, το αρχείο /tmp/runner διαγράφεται για να αφαιρεθούν τα ίχνη από το σύστημα και το κακόβουλο λογισμικό συνδέεται με το focusgroovy[.]com για λήψη πρόσθετων ωφέλιμων φορτίων και επικοινωνία με τον διακομιστή εντολών και ελέγχου του.