Το 9to5Mac Security Bite παρέχεται αποκλειστικά σε εσάς από Mosyle, η μόνη ενοποιημένη πλατφόρμα της Apple. Το να κάνουμε τις συσκευές Apple έτοιμες για εργασία και ασφαλείς για τις επιχειρήσεις είναι το μόνο που κάνουμε. Η μοναδική ολοκληρωμένη προσέγγισή μας στη διαχείριση και την ασφάλεια συνδυάζει προηγμένες λύσεις ασφαλείας ειδικά για την Apple για πλήρως αυτοματοποιημένη Hardening & Compliance, Next Generation EDR, Zero Trust με τεχνητή νοημοσύνη και αποκλειστική διαχείριση προνομίων με το πιο ισχυρό και σύγχρονο Apple MDM στην αγορά. Το αποτέλεσμα είναι μια πλήρως αυτοματοποιημένη Ενοποιημένη Πλατφόρμα Apple την οποία εμπιστεύονται σήμερα περισσότεροι από 45.000 οργανισμοί για να καταστήσει έτοιμες να λειτουργήσουν εκατομμύρια συσκευές Apple χωρίς κόπο και με προσιτό κόστος. Ζητήστε την ΕΚΤΕΤΑΜΕΝΗ ΔΟΚΙΜΗ σας σήμερα και κατανοήστε γιατί το Mosyle είναι ό,τι χρειάζεστε για να εργαστείτε με την Apple.
Την περασμένη εβδομάδα, το Jamf Threat Labs δημοσίευσε έρευνα σχετικά με μια ακόμη παραλλαγή της ολοένα και πιο δημοφιλής οικογένειας MacSync Stealer, εφιστώντας την προσοχή σε ένα αυξανόμενο πρόβλημα στην ασφάλεια του macOS: κακόβουλο λογισμικό που περιβάλλει τις πιο σημαντικές προστασίες εφαρμογών τρίτων της Apple. Αυτή η νέα παραλλαγή διανεμήθηκε μέσα σε μια κακόβουλη εφαρμογή που ήταν και κωδικοποιημένη με έγκυρο αναγνωριστικό προγραμματιστή και συμβολαιογραφική από την Apple, πράγμα που σημαίνει ότι το Gatekeeper δεν είχε κανένα λόγο να αποκλείσει την εκκίνησή της.
Ιστορικά, το μοντέλο της Apple έχει λειτουργήσει αρκετά καλά. Οι εφαρμογές που διανέμονται εκτός του Mac App Store πρέπει να είναι κρυπτογραφικά υπογεγραμμένες και συμβολαιογραφικά για να ανοίγουν χωρίς να απαιτείται από τους χρήστες να περάσουν από πολλά στεφάνια. Αλλά αυτό το μοντέλο εμπιστοσύνης προϋποθέτει ότι η υπογραφή αποδεικνύεται καλή πρόθεση. Αυτό που βλέπουμε τώρα είναι ότι οι εισβολείς αποκτούν πραγματικά πιστοποιητικά προγραμματιστή και αποστέλλουν κακόβουλο λογισμικό που δεν φαίνεται να διακρίνεται από το νόμιμο λογισμικό κατά τη στιγμή της εγκατάστασης.
Αφού μιλήσετε με πολλά άτομα που είναι εξοικειωμένα με το θέμα, υπάρχουν μερικοί τρόποι με τους οποίους οι φορείς απειλών θα το επιτύχουν. Σε πολλές περιπτώσεις, χρησιμοποιούν έναν συνδυασμό των παρακάτω:
Οι υπογεγραμμένες και συμβολαιογραφικές κακόβουλες εφαρμογές θα μπορούσαν να λειτουργούν με πιστοποιητικά αναγνωριστικού προγραμματιστή που έχουν παραβιαστεί ή ακόμη και αγοράζονται μέσω υπόγειων καναλιών, γεγονός που μειώνει σημαντικά τις υποψίες. Όπως είδαμε στην αναφορά του Jamf για α νέα παραλλαγή MacSync Stealerτο αρχικό δυαδικό είναι συχνά ένα σχετικά απλό εκτελέσιμο αρχείο που βασίζεται στο Swift που εμφανίζεται καλοήθης κατά τη στατική ανάλυση της Apple και κάνει λίγα από μόνο του.
Η πραγματική κακόβουλη συμπεριφορά συμβαίνει αργότερα, όταν η εφαρμογή προσεγγίζει απομακρυσμένη υποδομή για να πάρει επιπλέον ωφέλιμα φορτία. Εάν αυτά τα ωφέλιμα φορτία δεν είναι διαθέσιμα κατά τη διάρκεια της συμβολαιογραφικής δήλωσης και ενεργοποιούνται μόνο υπό πραγματικές συνθήκες χρόνου εκτέλεσης, οι σαρωτές της Apple δεν έχουν τίποτα κακόβουλο για ανάλυση. Η διαδικασία συμβολαιογραφικής αξιολόγησης αξιολογεί τι υπάρχει κατά τη στιγμή της υποβολής, όχι τι μπορεί να ανακτήσει μια εφαρμογή μετά την κυκλοφορία και οι εισβολείς σχεδιάζουν ξεκάθαρα γύρω από αυτό το όριο.
Η πρώτη εμφάνιση κακόβουλου λογισμικού συμβολαιογραφικού από την Apple χρονολογείται τουλάχιστον από το 2020, που ανακαλύφθηκε από έναν χρήστη του Twitter. Νωρίτερα αυτόν τον Ιούλιο, υπήρξε άλλη μια περίπτωση παρόμοιας κακόβουλης εφαρμογής που υπογράφηκε και επικυρώθηκε από την Apple. Τώρα, αυτό έχει φτάσει στο σημείο βρασμού; Μάλλον όχι. Από τη μία πλευρά, συμφωνώ ότι ακόμη και μία περίπτωση αυτού του γεγονότος είναι μία πάρα πολλές.
Από την άλλη, νομίζω ότι είναι πολύ εύκολο να ρίξεις την ευθύνη στην Apple εδώ. Το σύστημα λειτουργεί σε μεγάλο βαθμό όπως έχει σχεδιαστεί. Η υπογραφή κώδικα και η συμβολαιογραφική επικύρωση δεν είχαν ποτέ σκοπό να εγγυηθούν ότι το λογισμικό είναι ακατάλληλο για πάντα, μόνο ότι μπορεί να εντοπιστεί σε έναν πραγματικό προγραμματιστή και να ανακληθεί όταν ανακαλυφθεί κατάχρηση.
Αυτό είναι ένα ενδιαφέρον διάνυσμα επίθεσης και θα συνεχίσω να παρακολουθώ μέχρι το 2026.
Στο τέλος της ημέρας, η καλύτερη άμυνα κατά του κακόβουλου λογισμικού είναι να κατεβάσετε λογισμικό απευθείας από προγραμματιστές που εμπιστεύεστε ή από το Mac App Store.
Το Security Bite είναι η εβδομαδιαία βαθιά κατάδυση του 9to5Mac στον κόσμο της ασφάλειας της Apple. Κάθε εβδομάδα, ο Arin Waichulis αποκαλύπτει νέες απειλές, ανησυχίες για το απόρρητο, τρωτά σημεία και πολλά άλλα, διαμορφώνοντας ένα οικοσύστημα με πάνω από 2 δισεκατομμύρια συσκευές.
φάollow Arin: Twitter/X, LinkedIn, Νήματα
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
