Поделиться
Троян MacSync получил цифровую подпись, нотариальное заверение и принялся обходить защиту макбуков
Вредонос, который портит кровь пользователям macOS с прошлой весны, в определённый момент обзавёлся валидной цифровой подписью и нотариальным заверением. Это позволило обходить защиту системы.
Новая мутация
Специалисты по кибербезопасности компании Jamf выявили новую итерацию инфостилера MacSync, которая распространяется в виде приложения на языке Swift с цифровой подписью и нотариальным заверением. Это, в частности, означает, что защитные средства операционной системы рассматривают этот вредонос как доверенное приложение.
Этот метод существенно превосходит по своей эффективности прежние варианты, которые, в основном, сводились к тактике ClickFix или требовали от конечного пользователя «перетаскивания на терминал».
По данным специалистов Jamf, вредонос содержится в образах диска zk-call-messenger-installer-3.9.2-lts.dmg.
Последние версии MacSync снабжены действующей цифровой подписью от авторизованного разработчика ПО для Apple с идентификатором GNJLS3UYZ4.
После того, как о проблеме проинформировали Apple, сертификат был отозван.
Непосредственно сам вредонос доставляется в систему с помощью закодированного дроппера. После его раскодирования исследователи обнаружили довольно неожиданные характеристики MacSync Stealer.
Вредонос использует сразу несколько механизмов, препятствующих обнаружению, в том числе искусственное раздувание DMG-файла до 25,5 мегабайт посредством встраивания PDF-документов - «обманок», а также полное удаление скриптов, задействованных в секвенции запуска и проверка интернет-соединения непосредственно перед запуском, чтобы удостовериться, что система не является отладочной средой.
Защищённость как проблема
MacSync впервые был замечен в апреле 2025 года под названием Mac.C, и уже к июлю приобрёл значительную популярность в даркнете.
Аналитики группы MacPaw Moonlock, проанализовав код вредоноса, обнаружили, что он способен красть реквизиты доступа к iCloud, пароли, хранящиеся в браузерах, системные метаданные, данные криптовалютных кошельков и целые файлы из файловой системы.
Автор вредоноса, известный как Mentalpositive, в интервью своему оппоненту, эксперту по кибербезопасности g0njxa, заявил, что внедрение более строгой политики нотариального заверения приложений в ОС macOS 10.14.15 оказало наибольшее влияние на процесс разработки MacSync. Что и нашло отражение в новых перехваченных версиях.
«Репутация macOS как высокозащищённой системы временами играет против неё самой, поскольку её пользователи в целом менее склонны ожидать кибератак на свои системы, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - И хотя Apple действительно неплохо справляется с киберугрозами, нет смысла делать вид, что проблема отсутствует. MacSync тому прямое доказательство, причём небезобидное».
Эксперт добавил, что единственным, по сути, слабым местом вредоноса является необходимость скачивать его с непроверенного ресурса: это всегда фактор риска.
Поделиться
Короткая ссылка
