Het ecosysteem van Mac-computers Het is geconfronteerd met een bedreiging die al in een andere klasse opereert: MacSync-dief, malware die gespecialiseerd is in het stelen van informatie en computers infiltreert. gebruikmakend van Apple's eigen vertrouwde systemenIn tegenstelling tot de amateuristische virussen uit het verleden, presenteert deze kwaadaardige software zich als een legitieme en betrouwbare applicatie, met een geldige ontwikkelaarshandtekening en een notarieel verificatieproces, ook in Spanje en de rest van Europa, zoals analyses aantonen. cyberaanvallen op Mac en Linux.
In de meest recente varianten betreft het deze familie van kwaadaardige code. Het functioneert als een app geschreven in Swift, ondertekend en notarieel bekrachtigd door Apple.Hierdoor kan het veel van de initiële beveiligingsmaatregelen van macOS omzeilen, waaronder mechanismen zoals Gatekeeper en XProtect. Deze aanzienlijke sprong maakt vroege detectie moeilijker en opent de deur naar... stille lekken van persoonlijke en bedrijfsgegevens zowel in de thuissituatie als op het werk.
Wat is MacSync Stealer en hoe is het geëvolueerd in macOS?
Bij zijn eerste optredens, De infectie maakte gebruik van technieken die expliciete acties van de gebruiker vereisten.Er werden methoden gebruikt die vergelijkbaar waren met ClickFix of de klassieke "kopiëren en plakken"-opdrachten in de Terminal om kwaadaardige scripts uit te voeren. Deze aanpak vereiste een grotere mate van handmatige interactie, waardoor de gebruiker meer kans kreeg om te vermoeden dat er iets mis was en de installatie te stoppen voordat de schade groter werd.
De analyses van Jamf-dreigingslabsHet toonaangevende beveiligingslaboratorium voor Apple-apparaten beschrijft een heel andere situatie in de nieuwste variant. Volgens hun rapporten heeft MacSync Stealer een een sprong voorwaarts naar een veel meer geautomatiseerd en stil infectiemodelHet minimaliseren van zichtbare sporen voor het slachtoffer en het vertrouwen dat wordt gewekt door de handtekening en notariële bekrachtiging van Apple.
De truc is dat de eerste fase van de aanval wordt gepresenteerd als een Applicatie ontwikkeld in Swift, met een legitiem ontwikkelaars-ID, een geldige codehandtekening en een goedgekeurde notariële verificatie.Voor het besturingssysteem en de meeste gebruikers is deze combinatie synoniem met betrouwbare software, terwijl het in werkelijkheid de eerste schakel is in een zorgvuldig opgezette infectieketen.
In veel gevallen komt de dreiging vermomd als berichtenservice, productiviteitstool of synchronisatiehulpprogrammaMet een naam, pictogram en beschrijvingen die volkomen onschuldig klinken, vermindert deze façade de aanvankelijke argwaan verder – een bijzonder zorgwekkend detail in Europese kantoren, overheidsinstellingen en bedrijven waar de Mac een vast onderdeel is geworden van het dagelijkse werk.
Een Swift-installatieprogramma dat Gatekeeper omzeilt en als dropper fungeert.
De campagne die Jamf beschrijft, laat zien dat het eerste onderdeel van de dreiging functioneert als een Dropper geschreven in SwiftEen ogenschijnlijk legitiem installatieprogramma waarvan het werkelijke doel is om de weg vrij te maken en de daadwerkelijke kwaadaardige code van een externe server te downloaden. Aanvankelijk bevat deze app het Mach-O-binair bestand... Het document lijkt ondertekend en notarieel bekrachtigd te zijn en gekoppeld aan een echte ontwikkelaars-team-ID.Het doorstaat daarom met gemak de eerste Gatekeeper-controles.
In een van de geanalyseerde gevallen werd de druppelaar als volgt uitgedeeld: DMG-schijfkopie met de naam van de berichtenapplicatieonder namen zoals "zk-call-messenger-installer-3.9.2-lts.dmg" en gehost op een domein dat speciaal voor de campagne is aangemaakt. Het installatieprogramma presenteert zich aan de gebruiker als een zogenaamd bel- en berichtenprogramma, zodat Dubbelklik om het te starten., zonder de gecompliceerde stappen van oudere infecties.
Zelfs als het pakket ondertekend is, kunnen aanvallers in sommige gevallen toch iets toevoegen. Instructies om de gebruiker te dwingen met de rechtermuisknop te klikken en 'Openen' te selecteren.Dit is een klassieke truc om extra macOS-waarschuwingen te omzeilen wanneer de app niet afkomstig is uit de Mac App Store. Dit kleine detail, dat veel mensen over het hoofd zien, zou alarmbellen moeten doen rinkelen, vooral als de software van een obscure website komt.
Zodra de gebruiker de applicatie start, voert de dropper een reeks acties uit. milieucontroles voordat we doorgaan naar de tweede fase.Het programma controleert onder andere of de computer een stabiele internetverbinding heeft, controleert bepaalde systeemcondities en wacht in sommige gevallen een minimale uitvoeringstijd af. 3600 seconden zodat hun gedrag niet te direct of verdacht overkomt.
Wanneer aan de door de aanvallers gestelde voorwaarden is voldaan, maakt het programma verbinding met een server voor externe commando's en besturing Het downloaden van een gecodeerd script of payload, meestal in Base64, dat de MacSync Stealer-kern bevat. In dit stadium is de code die verantwoordelijk is voor Informatie stelen en de controle over de gecompromitteerde Mac behouden.terwijl de eerste installatie alleen dienstdoet als een Trojaans paard.
Opgeblazen DMG-bestanden, lokbestanden en wijzigingen in downloads om detectie te omzeilen.
Een van de aspecten die de meeste aandacht van onderzoekers heeft getrokken, is het gebruik van grote schijfimages gevuld met lokbestandenHet DMG-bestand dat bij dit installatieprogramma hoort, is ongeveer 25,5 MBEen ongebruikelijk hoog volume voor wat op het eerste gezicht een simpele berichtenapp of een lichtgewicht hulpprogramma lijkt te zijn.
Volgens Jamf Threat Labs wordt dit gewicht bereikt. Het pakket opblazen met irrelevante documenten, zoals pdf's of andere ingesloten bestanden. die niets bijdragen aan de functionaliteit van de app. Die mix van opvulling met het eigenlijke onderdeel. Dit bemoeilijkt de geautomatiseerde analyse die wordt uitgevoerd door antivirus- en beveiligingsoplossingen.die een grotere hoeveelheid gegevens moeten verwerken en onderscheid moeten maken tussen wat legitiem is en wat niet.
Na het koppelen van de schijfkopie en het uitvoeren van de applicatie, start de dropper een lokale omgevingsscan Om alles te controleren, van connectiviteit tot bepaalde systeemparameters. Pas wanneer duidelijk is dat het scenario geschikt is, wordt contact opgenomen met de externe infrastructuur om de tweede module te downloaden. In veel gevallen zijn de belastingen Ze draaien voornamelijk in het geheugen, waardoor ze minimale ruimte op de schijf innemen. en de daaropvolgende forensische opsporing verder bemoeilijken.
De code die in deze tweede fase is gedownload, komt overeen met MacSync, een evolutie van een eerdere familie die bekend stond als Mac.c.Onafhankelijk onderzoek wijst uit dat deze agent is ontwikkeld in Go en over een scala aan mogelijkheden beschikt die veel verder gaan dan alleen het stelen van wachtwoorden, in lijn met de trend van andere moderne bedreigingen die zich richten op macOS.
En alsof dat nog niet genoeg is, verfijnen de aanvallers hun tactieken zelfs nog tot in de puntjes. downloadopdrachten die in het proces worden gebruiktHet gebruik van hulpmiddelen zoals curl Dit wordt gedaan met minder gebruikelijke parametercombinaties — bijvoorbeeld door de typische tekenreeks te scheiden. -fsSL op vlaggen zoals -fL y -sSen het integreren van opties zoals --noproxy— met als doel het omzeilen van detectieregels op basis van herhaalde patronen en de betrouwbaarheid van de verbinding met hun servers verbeteren.
Van datadief tot platform voor afstandsbediening
De kern van MacSync Stealer gaat verder dan de basiscategorie van infostealers: technische analyses beschrijven een agent met volledige command-and-control (C2)-mogelijkheden, bereid om continu in contact te blijven met het betreffende team en realtime instructies te ontvangen.
Tot de functies die aan deze familie worden toegeschreven, behoren de volgende: diefstal van inloggegevens, browsecookies, bankpasgegevens en cryptocurrency-portefeuillesevenals het stelen van alle soorten bestanden die voor de aanvallers interessant zijn. Toegang tot informatie opgeslagen in de macOS-sleutelbos Gegevens uit browsers zoals Safari, Chrome of Firefox vormen al een zeer aantrekkelijk doelwit voor financiële fraude en bedrijfsspionage.
Een ander gevoelig punt is het vermogen om Installeer extra modules op aanvraag.Deze modulaire aanpak stelt het gecompromitteerde team in staat om een ​​soort kwaadaardig "Zwitsers zakmes" te worden: vandaag ligt de nadruk misschien op het verzamelen van wachtwoorden en morgen op het registreren van toetsaanslagen, het versleutelen van bestanden, het zich verplaatsen binnen een bedrijfsnetwerk of het implementeren van nieuwe tools voor toegang op afstand.
Voor gebruikers en bedrijven in Spanje en de rest van Europa betekent deze overgang van een simpele datadief naar een flexibel platform voor afstandsbediening Dit betekent een aanzienlijke toename van het risico. Een geïnfecteerde Mac is niet langer slechts een eenmalige bron van gestolen informatie, maar wordt een toegangspoort tot bedrijfsnetwerken, cloudservices of kritieke systemen waartoe het apparaat toegang heeft.
Dit scenario past in een bredere trend die door verschillende cybersecuritybedrijven wordt waargenomen: de Aanhoudende toename van infostealers en modulaire Trojaanse paarden gericht op macOSDit wordt veroorzaakt door het groeiende marktaandeel van Apple-apparatuur en het economische profiel van de gebruikers, waardoor ze een bijzonder aantrekkelijk doelwit zijn voor online fraude.
De reactie van Apple en de beperkingen van automatische bescherming in macOS.
Naar aanleiding van waarschuwingen van Jamf Threat Labs en andere beveiligingsbedrijven, Apple heeft de codeondertekeningscertificaten ingetrokken die gekoppeld waren aan de Team ID die werd gebruikt in de MacSync Stealer-campagne.Met deze maatregel vertrouwt het besturingssysteem geen applicaties meer die met die identificatiecode zijn ondertekend en blokkeert het nieuwe builds die proberen deze te gebruiken om kwaadaardige software te verspreiden.
Tegelijkertijd heeft het bedrijf zijn interne beveiligingsmechanismen, zoals XProtect en Gatekeepermet nieuwe detectieregels en lijsten met bekende hashes en signatures. In de huidige versies van macOS worden deze blacklists regelmatig bijgewerkt zonder tussenkomst van de gebruiker, dus het is belangrijk om op de hoogte te blijven. het systeem up-to-date houden en installeer de beschikbare updates om te profiteren van die patches en verbeteringen.
Desondanks benadrukken experts dat de MacSync Stealer-zaak een voorbeeld is van een Algemene trend van malware voor macOS: aanvallers proberen steeds vaker om Zorg ervoor dat uw code in ondertekende en notarieel bekrachtigde uitvoerbare bestanden past.zodat ze volledig legitieme en betrouwbare applicaties lijken. Als ze hierin slagen, wordt de kans dat de gebruiker duidelijke waarschuwingen ontvangt aanzienlijk kleiner.
Rapporten van Jamf en andere bedrijven benadrukken dat, zelfs wanneer Apple gecompromitteerde certificaten intrekt, Cybercriminelen kunnen nieuwe ontwikkelaars-ID's registreren en dezelfde strategie herhalen.Door kleine details aan te passen om de nieuw toegevoegde regels te omzeilen. Dit kat-en-muisspel dwingt de ingebouwde macOS-beveiliging ertoe om met extra lagen te worden aangevuld.
Deze context versterkt het idee dat Veiligheid kan niet uitsluitend afhangen van automatische beveiligingen.Hoewel Gatekeeper, XProtect en het notarisatieproces de lat aanzienlijk hoger hebben gelegd, laten aanvallen zoals de MacSync Stealer zien dat vertrouwensmechanismen ook tegen gebruikers kunnen worden gebruikt wanneer iemand erin slaagt zijn app in de verificatieketen te glippen.
Impact op Mac-gebruikers in Spanje en Europa en beste praktijken voor bescherming
De uitbreiding van de Mac in kantoren, universiteiten en woningen in Spanje en de rest van Europa macOS is een steeds aantrekkelijker doelwit geworden voor criminele groeperingen. Het is niet langer een nicheplatform: steeds meer organisaties integreren macOS in hun infrastructuur, waardoor bedreigingen zoals MacSync Stealer een groot probleem vormen voor de regio.
Deskundigen adviseren om zowel technische vaardigheden als dagelijkse gewoontes te versterken. De eerste stap, die ogenschijnlijk eenvoudig maar essentieel lijkt, is... Zorg dat macOS en apps up-to-date zijn. en uitvoeren regelmatige back-upsOmdat Apple regelmatig nieuwe signatures en blokkeringsregels introduceert voor dit soort bedreigingen, biedt het negeren van beveiligingsupdates de mogelijkheid voor varianten die al gedocumenteerd en verholpen zijn.
Er wordt ook nadruk gelegd op het belang van Beperk de installatie van software tot de Mac App Store of bekende ontwikkelaars.Zelfs als het installatieprogramma ondertekend en notarieel bekrachtigd lijkt, is dat label geen absolute garantie meer voor veiligheid, zoals dit geval aantoont. Het downloaden van apps via links die je ontvangt via e-mail, berichten of onbetrouwbare websites vergroot het risico op infectie aanzienlijk.
Een ander belangrijk onderdeel is Let goed op welke machtigingen elke applicatie aanvraagt.Toegang tot de sleutelbos, gebruikersdocumenten, browsergeschiedenis of toegankelijkheidsfuncties zijn machtigingen die spaarzaam verleend moeten worden, vooral bij gratis hulpprogramma's van dubieuze herkomst. Veel succesvolle infecties zijn hier juist op gebaseerd. buitensporige machtigingen die de gebruiker zelf heeft geaccepteerd zonder ze te controleren.
In professionele omgevingen, met name binnen de Europese Unie, is het raadzaam de beveiliging van Apple aan te vullen met beveiligingsoplossingen specifiek voor macOSEDR-tools en duidelijke beleidsregels voor het downloaden en installeren van software zijn essentieel. Deze maatregelen zijn met name relevant voor bedrijven die onderworpen zijn aan gegevensbeschermingsregelgeving, waar een incident van diefstal van inloggegevens of het uitlekken van informatie kan leiden tot sancties en verlies van vertrouwen.
Alles rondom MacSync Stealer laat zien in hoeverre de Malware op Macs is geen zeldzaamheid meer.Aanvallers maken gebruik van ondertekende en notarieel bekrachtigde uitvoerbare bestanden, vullen schijfimages met lokbestanden, downloaden payloads van de tweede fase van externe servers en zetten agents in die in staat zijn gegevens te stelen en computers op afstand te besturen. In dit scenario is het oude idee dat "Macs virusvrij zijn" definitief achterhaald en bestaat bescherming nu uit een combinatie van Apple's eigen beveiligingsmechanismen met goede gebruikspraktijken en constante monitoring om te voorkomen dat onze computer de zwakste schakel in de keten wordt.