Výzkumníci v oblasti kybernetické bezpečnosti objevili novou variantu macOS informačního stealeru nazvaného MacSync, který je šířen prostřednictvím digitálně podepsané a notarizované Swift aplikace maskující se jako instalátor aplikace pro zasílání zpráv, aby obešel kontroly Apple Gatekeeper.
„Na rozdíl od dřívějších variant MacSync Stealer, kteréárně spoléhaly na techniky drag-to-terminal nebo ClickFix, tento vzorek přijímá klamavější přístup bez nutnosti zásahu uživatele,“ uvedl výzkumník společnosti Jamf Thijs Xhaflaire.
Firma zabývající se správou Apple zařízení a bezpečností uvedla, že nejnovější verze je distribuována jako kódově podepsaná a notarizovaná Swift aplikace v rámci obrazu disku (DMG) s názvem „zk-call-messenger-installer-3.9.2-lts.dmg“, který je hostován na „zkcall[.]net/download.“
Skutečnost, že je podepsaná a notarizovaná, znamená, že může být spuštěna bez blokování nebo označení vestavěnými bezpečnostními kontrolami jako Gatekeeper nebo XProtect. Navzdory tomu bylo zjištěno, že instalátor zobrazuje pokyny vyzývající uživatele, aby klikli pravým tlačítkem a otevřeli aplikaci – běžná taktika používaná k obcházení takových ochranných opatření. Apple od té doby odvolal certifikát pro podepisování kódu.
Swift-based dropper poté provádí sérii kontrol před stažením a spuštěním zakódovaného skriptu prostřednictvím pomocné komponenty. To zahrnuje ověření připojení k internetu, vynucení minimálního intervalu spuštění přibližně 3600 sekund pro vynucení omezení rychlosti a odstranění atributů karantény a validaci souboru před spuštěním.
„Je pozoruhodné, že příkaz curl používaný k získání payloadu vykazuje jasné odchylky od dřívějších variant,“ vysvětlil Xhaflaire. „Místo běžně používané kombinace -fsSL byly příznaky rozděleny na -fL a -sS a byly zavedeny další možnosti jako –noproxy.“
„Tyto změny spolu s použitím dynamicky naplňovaných proměnných ukazují na záměrný posun ve způsobu, jakým je payload získáván a validován, pravděpodobně s cílem zlepšit spolehlivost nebo uniknout detekci.“
Dalším mechanismem vyhýbání se detekci používaným v kampani je použití neobvykle velkého DMG souboru, který nafoukne jeho velikost na 25,5 MB vložením nesouvisejících PDF dokumentů.
Base64-kódovaný payload po zpracování odpovídá MacSync, přejmenované verzi Mac.c, která se poprvé objevila v dubnu 2025. MacSync podle Moonlock Lab společnosti MacPaw přichází vybaven plně funkčním agentem založeným na Go, který jde nad rámec jednoduchého krádeže dat a umožňuje vzdálené možnosti příkazů a řízení.
Stojí za zmínku, že kódově podepsané verze škodlivých DMG souborů napodobujících Google Meet byly také pozorovány v útocích šířících další macOS stealery jako Odyssey. Přesto útočníci nadále spoléhají na nepodepsané obrazy disků k šíření DigitStealer ještě minulý měsíc.
„Tento posun v distribuci odráží širší trend v oblasti macOS malwaru, kde útočníci stále častěji se pokoušejí propašovat svůj malware do spustitelných souborů, které jsou podepsané a notarizované, což jim umožňuje vypadat více jako legitimní aplikace,“ uvedla společnost Jamf.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
