Екосистемата на Mac компютри Срещнала се е със заплаха, която вече играе в друга лига: MacSync крадец, зловреден софтуер, специализиран в кражба на информация, който прониква в компютрите използване на собствените надеждни системи на AppleДалеч от некачествените вируси от миналото, този зловреден софтуер се представя като легитимно и надеждно приложение, с валиден подпис на разработчика и нотариално заверен процес на проверка, също в Испания и останалата част от Европа, както показват анализите. кибератаки срещу Mac и Linux.
В най-новите си варианти, това семейство злонамерен код Работи като приложение, написано на Swift, подписано и нотариално заверено от AppleТова му позволява да заобиколи много от първоначалните мерки за сигурност на macOS, включително механизми като Gatekeeper и XProtect. Този значителен скок прави ранното откриване по-трудно и отваря вратата към... тихи изтичания на лични и корпоративни данни както в домашна, така и в професионална среда.
Какво е MacSync Stealer и как се е развил в macOS?
В първите си изяви, Инфекцията е разчитала на техники, които изискват изрични действия от потребителяИзползвани са методи, подобни на ClickFix или класическите команди „копиране и поставяне“ в терминала за изпълнение на злонамерени скриптове. Този подход изисква по-голяма степен на ръчна намеса, което дава на потребителя повече възможности да подозира, че нещо не е наред, и да спре инсталацията, преди щетите да станат по-големи.
Анализите на Jamf Threat LabsВодещата лаборатория за сигурност на устройства на Apple описва доста различна ситуация в най-новия вариант. Според техните доклади, MacSync Stealer е дал... скок към много по-автоматизиран и безшумен модел на инфекцияминимизиране на видимите признаци за жертвата и разчитане на доверието, генерирано от подписа и нотариалната заверка на Apple.
Номерът е, че първата фаза на атаката е представена като Приложение, разработено на Swift, с легитимен идентификатор на разработчика, валиден подпис на кода и преминало нотариална заверкаЗа операционната система и за повечето потребители тази комбинация е синоним на надежден софтуер, когато в действителност тя е първата връзка във внимателно проектирана верига от инфекции.
В много случаи заплахата пристига маскирана като услуга за съобщения, инструмент за продуктивност или помощна програма за синхронизацияС име, икона и описания, които звучат напълно безобидно, тази фасада допълнително намалява първоначалните подозрения – особено тревожен детайл в европейските офиси, публичните администрации и компаниите, където Mac се е утвърдил като ежедневен работен инструмент.
Инсталатор на Swift, който заобикаля Gatekeeper и действа като дропър.
Кампанията, описана от Джамф, показва, че първият компонент на заплахата функционира като пипачка, написана на SwiftПривидно легитимен инсталатор, чиято истинска цел е да подготви почвата и да изтегли действителния зловреден код от отдалечен сървър. Първоначално двоичният файл Mach-O, съдържащ се в това приложение... Изглежда подписано и нотариално заверено, свързано с истински идентификатор на екипа на разработчикаСледователно, той лесно преминава първоначалните проверки на Gatekeeper.
В един от анализираните случаи, капкомерът е бил разпределен като DMG образ на диск с име на приложение за съобщенияпод имена като „zk-call-messenger-installer-3.9.2-lts.dmg“ и хостван на домейн, подготвен за кампанията. Инсталаторът се представя на потребителя като предполагаем инструмент за обаждания и съобщения, така че Просто щракнете двукратно, за да го стартирате, без сложните стъпки на по-старите инфекции.
Дори ако пакетът е подписан, в някои сценарии нападателите добавят Инструкции как да принудите потребителя да щракне с десния бутон и да избере „Отвори“Това е класически трик за заобикаляне на допълнителните предупреждения на macOS, когато приложението не идва от Mac App Store. Този малък детайл, който мнозина пренебрегват, би трябвало да е предупредителен, особено ако софтуерът идва от неизвестен уебсайт.
След като потребителят стартира приложението, дропърът изпълнява серия от екологични проверки преди преминаване към втората фазаНаред с други стъпки, той проверява дали компютърът има стабилна интернет връзка, проверява определени системни условия и в някои случаи изчаква минимален период на изпълнение, близък до 3600 секунди така че поведението им да не изглежда твърде непосредствено или подозрително.
Когато условията, зададени от нападателите, са изпълнени, програмата се свързва с сървър за дистанционно командване и управление да изтегли кодиран скрипт или полезен товар, обикновено в Base64, съдържащ ядрото на MacSync Stealer. На този етап кодът, отговорен за крадат информация и поддържат контрол над компрометирания Mac, докато първоначалният инсталатор е ограничен до това да служи като троянски кон.
Завишени DMG файлове, файлове-примамки и промени в изтеглянето, за да се избегне откриването
Един от аспектите, който е привлякъл най-голямо внимание на изследователите, е използването на големи дискови изображения, пълни с файлове-примамкиDMG, свързан с този инсталатор, е около 25,5 MB, необичайно голям обем за нещо, което на пръв поглед изглежда като просто приложение за съобщения или лека помощна програма.
Според Jamf Threat Labs, това тегло е постигнато препълване на пакета с неподходящи документи, като PDF файлове или други вградени файлове които не допринасят с нищо за функционалността на приложението. Тази смесица от съдържание за пълнене с действителния компонент Това усложнява автоматизирания анализ, извършван от антивирусни и защитни решения.който трябва да обработва по-голям обем данни и да разграничава кое е легитимно и кое не.
След монтиране на образа на диска и стартиране на приложението, дропърът стартира сканиране на локалната среда да провери всичко - от свързаност до определени системни параметри. Само когато е ясно, че сценарият е подходящ, се свързва с отдалечената инфраструктура, за да изтегли втория модул. В много случаи натоварванията са Те се изпълняват предимно в паметта, оставяйки минимален отпечатък на диска. и допълнително усложняване на последващото криминалистично разкриване.
Кодът, изтеглен във втората фаза, съответства на MacSync, еволюция на по-ранно семейство, известно като Mac.cНезависими разследвания показват, че този агент е разработен на Go и има набор от възможности, които далеч надхвърлят просто кражбата на пароли, следвайки тенденцията на други съвременни заплахи, насочени към macOS.
На всичкото отгоре, нападателите дори прецизират своите команди за изтегляне, използвани в процесаИзползването на инструменти като curl Това се прави с по-рядко срещани комбинации от параметри — например чрез разделяне на типичния низ -fsSL върху знамена като -fL y -sSи включването на опции като --noproxy— с цел избягване на правила за откриване, базирани на повтарящи се модели и да подобрят надеждността на връзката със своите сървъри.
От крадец на данни до платформа за дистанционно управление
Сърцевината на MacSync Stealer надхвърля основната категория инфотейлър: техническите анализи описват... агент с пълни възможности за командване и контрол (C2), готови да поддържат постоянна комуникация със засегнатия екип и да получават инструкции в реално време.
Сред функциите, приписвани на това семейство, се открояват следните: кражба на идентификационни данни, бисквитки за сърфиране, данни за банкови карти и портфейли за криптовалутакакто и извличането на всички видове файлове, представляващи интерес за нападателите. Достъп до информация, съхранявана в ключодържателя на macOS Данните от браузъри като Safari, Chrome или Firefox вече са много привлекателни цели за финансови измами и корпоративен шпионаж.
Друг чувствителен момент е способността да Инсталирайте допълнителни модули по заявкаТози модулен подход позволява на компрометирания екип да се превърне в един вид злонамерено „швейцарско ножче“: днес акцентът може да е върху събирането на пароли, а утре върху регистрирането на натискания на клавиши, криптирането на файлове, страничното придвижване през корпоративна мрежа или внедряването на нови инструменти за отдалечен достъп.
За потребителите и бизнеса в Испания и останалата част от Европа, този преход от обикновен крадец на данни към гъвкава платформа за дистанционно управление Това представлява значителен скок в нивото на риск. Заразеният Mac престава да бъде просто еднократен източник на открадната информация и се превръща в портал към корпоративни мрежи, облачни услуги или критични системи до които устройството има достъп.
Този сценарий се вписва в по-широка тенденция, наблюдавана от различни фирми за киберсигурност: Устойчиво увеличение на крадците на информация и модулните троянски коне, насочени към macOSТова се дължи на нарастващия пазарен дял на устройствата на Apple и икономическия профил на техните потребители, което ги прави особено привлекателна цел за онлайн измами.
Отговорът на Apple и ограниченията на автоматичната защита в macOS
След предупреждения от Jamf Threat Labs и други компании за сигурност, Apple отмени сертификатите за подписване на код, свързани с Team ID, използван в кампанията MacSync Stealer.С тази мярка операционната система спира да се доверява на приложения, подписани с този идентификатор, и блокира нови компилации, които се опитват да го използват за разпространение на зловреден софтуер.
Успоредно с това, компанията е актуализирала своята вътрешни защитни механизми, като XProtect и Gatekeeperс нови правила за откриване и списъци с известни хешове и сигнатури. В текущите версии на macOS тези черни списъци се актуализират често без намесата на потребителя, така че е ключово поддържайте системата актуална и приложете наличните актуализации, за да се възползвате от тези корекции и подобрения.
Въпреки това, експертите настояват, че случаят с MacSync Stealer илюстрира Обща тенденция на злонамерен софтуер за macOS: нападателите все по-често се опитват да вмъкнете кода си в подписани и нотариално заверени изпълними файловетака че да изглеждат като напълно легитимни и надеждни приложения. Ако постигнат това, вероятността потребителят да получава ясни предупреждения е значително намалена.
Доклади от Jamf и други фирми подчертават, че дори когато Apple отменя компрометирани сертификати, Киберпрестъпниците могат да регистрират нови идентификатори на разработчици и да повтарят същата стратегия.чрез адаптиране на малки детайли, за да се заобиколят новодобавените правила. Тази игра на котка и мишка принуждава вградените защити на macOS да бъдат допълнени с допълнителни слоеве.
Този контекст подсилва идеята, че Безопасността не може да зависи единствено от автоматични защитиВъпреки че Gatekeeper, XProtect и процесът на нотариална заверка значително вдигнаха летвата, атаки като MacSync Stealer показват, че механизмите за доверие могат да се използват и срещу потребители, когато някой успее да вмъкне приложението си във веригата за проверка.
Въздействие върху потребителите на Mac в Испания и Европа и най-добри практики за защита
Разширяването на Mac в офиси, университети и домове в Испания и останалата част от Европа macOS се превръща във все по-привлекателна цел за престъпни групи. Вече не е нишова платформа: все повече организации интегрират macOS в своята инфраструктура, което прави заплахи като MacSync Stealer основен проблем за региона.
Експертите препоръчват укрепване както на техническите умения, така и на ежедневните навици. Първата стъпка, на пръв поглед проста, но фундаментална, е Поддържайте macOS и приложенията актуални и изпълнява редовно архивиранеТъй като Apple често въвежда нови сигнатури и правила за блокиране за тези видове заплахи, игнорирането на актуализациите за сигурност оставя вратата отворена за варианти, които вече са документирани и актуализирани.
Акцент се поставя и върху важността на ограничете инсталирането на софтуер до Mac App Store или от известни разработчициДори инсталаторът да изглежда подписан и нотариално заверен, този етикет вече не е абсолютна гаранция за сигурност, както показва този случай. Изтеглянето на приложения от връзки, получени по имейл, съобщения или от ненадеждни уебсайтове, значително увеличава риска от заразяване.
Друг ключов елемент е Обърнете внимание на разрешенията, които всяко приложение изисква.Достъпът до ключодържателя, потребителските документи, историята на браузъра или функциите за достъпност са разрешения, които трябва да се предоставят пестеливо, особено когато става въпрос за безплатни помощни програми със съмнителен произход. Много успешни инфекции разчитат именно на това. прекомерни разрешения, които самият потребител е приел, без да ги е прегледал.
В професионална среда, особено в рамките на Европейския съюз, е препоръчително да се допълнят защитните механизми на Apple с решения за сигурност, специално за macOSИнструментите за електронно разпознаване на данни (EDR) и ясните политики за изтегляне и инсталиране на софтуер са от съществено значение. Тези мерки са особено важни за компании, подчинени на разпоредбите за защита на данните, където инцидент с кражба на идентификационни данни или изтичане на информация може да доведе до санкции и загуба на доверие.
Всичко около MacSync Stealer показва до каква степен... Зловредният софтуер за Mac вече не е рядкостАтакуващите разчитат на подписани и нотариално заверени изпълними файлове, надуване на дискови образи с файлове-примамки, изтегляне на вторични полезни товари от отдалечени сървъри и разполагане на агенти, способни да крадат данни и да поддържат дистанционен контрол над компютрите. В този сценарий старата идея, че „Mac-овете са без вируси“, е окончателно остаряла и защитата сега включва комбиниране на вградените защити на Apple с... добри практики за употреба и постоянно наблюдение за да предотвратим компютъра ни да бъде най-слабото звено във веригата.