Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα παραλλαγή του κακόβουλου λογισμικού MacSync που στοχεύει χρήστες macOS.
Σε αντίθεση με τις προηγούμενες εκδόσεις που βασίζονταν σε πολύπλοκες τεχνικές ClickFix, αυτή η επανάληψη μεταμφιέζεται ως μια νόμιμα υπογεγραμμένη, συμβολαιογραφική εφαρμογή της Apple, παρακάμπτοντας έτσι την ασφάλεια του macOS Gatekeeper και κλέβοντας ευαίσθητα δεδομένα.
Το υπογεγραμμένο κακόβουλο λογισμικό παρακάμπτει την ασφάλεια
Η Jamf Threat Labs εντόπισε πρόσφατα αυτό το εξελιγμένο MacSync stealer, το οποίο περιλαμβάνει δύο σημαντικές τεχνικές αλλαγές.
Το κακόβουλο λογισμικό παρουσιάζεται πλέον ως μια υπογεγραμμένη και συμβολαιογραφική εφαρμογή Swift, η επίσημη γλώσσα προγραμματισμού της Apple για την ανάπτυξη macOS.
Αυτή η έξυπνη μεταμφίεση βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό εμφανίζοντας ως αξιόπιστη εφαρμογή από έναν επαληθευμένο προγραμματιστή.
Οι εγκληματίες του κυβερνοχώρου αποκτούν νόμιμα πιστοποιητικά προγραμματιστή μέσω κλοπής, αγοράς παραβιασμένων λογαριασμών προγραμματιστών ή δημιουργίας πλαστών εταιρειών προγραμματιστών που χρησιμοποιούν δόλιες ταυτότητες.
Αξιοποιώντας αυτά τα πιστοποιητικά, το MacSync αποφεύγει την ενεργοποίηση προειδοποιήσεων ασφαλείας του macOS σχετικά με «μη αναγνωρισμένους προγραμματιστές» που συνήθως ειδοποιούν τους χρήστες για πιθανές απειλές.
Η νέα παραλλαγή υποδύεται τις διαδικτυακές πλατφόρμες ανταλλαγής μηνυμάτων, στοχεύοντας ιδιαίτερα σε χρήστες που ενδιαφέρονται για εφαρμογές όπως το zk-Call, μια υπηρεσία κλήσεων και μηνυμάτων με έδρα την Εσθονία.
Αυτή η τακτική κοινωνικής μηχανικής αυξάνει την πιθανότητα τα θύματα να εγκαταστήσουν το κακόβουλο λογισμικό χωρίς υποψία.
Αυτή η έκδοση MacSync αντιπροσωπεύει μια σημαντική απόκλιση από τους προκατόχους της. Οι προηγούμενες παραλλαγές ήταν ελαφριές και έτρεχαν αρθρωτά ωφέλιμα φορτία απευθείας στη μνήμη χωρίς σημαντικό αποτύπωμα δίσκου.
Ωστόσο, οι ερευνητές του Jamf σημείωσαν ότι αυτή η έκδοση διαθέτει μια τεράστια εικόνα δίσκου 25,5 MB, υποδηλώνοντας βελτιωμένη λειτουργικότητα και ενσωματωμένα στοιχεία.
Το MacSync αποτελεί σοβαρή απειλή για τα μολυσμένα συστήματα. Το κακόβουλο λογισμικό μπορεί να εγκαταστήσει κερκόπορτες για απομακρυσμένο έλεγχο συστήματος, να κλέψει αποθηκευμένα δεδομένα και πληροφορίες προγράμματος περιήγησης, να στοχεύσει διαπιστευτήρια πορτοφολιού κρυπτονομισμάτων και να διατηρήσει μόνιμη κρυφή πρόσβαση.
Ο Jamf εντόπισε focusgroovy[.]com ως διακομιστής εντολών και ελέγχου που χρησιμοποιείται για τη λήψη πρόσθετων ωφέλιμων φορτίων, με τα προγράμματα περιήγησης ιστού να επισημαίνουν πλέον τον ιστότοπο για ύποπτη δραστηριότητα ηλεκτρονικού ψαρέματος, όπως αναφέρθηκε από το Moonlock.
Ενώ η ακριβής μέθοδος διανομής παραμένει ασαφής, οι πιθανοί φορείς μόλυνσης περιλαμβάνουν κακόβουλες διαφημιστικές καμπάνιες, εκμετάλλευση μέσων κοινωνικής δικτύωσης, χειραγώγηση μηχανών αναζήτησης και στοχευμένες επιθέσεις ψαρέματος με δόρυ.
Οι χρήστες Mac θα πρέπει να παραμείνουν σε επαγρύπνηση και να αποφεύγουν τη λήψη εφαρμογών από μη αξιόπιστες πηγές, ακόμα κι αν φαίνονται νόμιμα υπογεγραμμένες.
