Ekosistem Ljubljane Mac računalniki Naletel je na grožnjo, ki že igra v drugi ligi: Kradljiva programska oprema MacSync, zlonamerna programska oprema, specializirana za krajo informacij, ki se infiltrira v računalnike z uporabo zaupanja vrednih Applovih sistemovDaleč od površnih virusov iz preteklosti se ta zlonamerna programska oprema predstavlja kot legitimna in zanesljiva aplikacija z veljavnim podpisom razvijalca in notarsko overjenim postopkom preverjanja, tudi v Španiji in preostali Evropi, kot kažejo analize. kibernetski napadi na Mac in Linux.
V svojih najnovejših različicah ta družina zlonamerne kode Deluje kot aplikacija, napisana v Swiftu, podpisana in overjena s strani AppleaTo mu omogoča, da zaobide številne začetne varnostne ukrepe sistema macOS, vključno z mehanizmi, kot sta Gatekeeper in XProtect. Ta pomemben preskok otežuje zgodnje odkrivanje in odpira vrata ... tiho uhajanje osebnih in poslovnih podatkov tako v domačem kot v profesionalnem okolju.
Kaj je MacSync Stealer in kako se je razvil v macOS-u?
V svojih prvih nastopih, Okužba se je zanašala na tehnike, ki so zahtevale izrecna uporabniška dejanjaUporabljene so bile metode, podobne ClickFixu ali klasičnim ukazom »kopiraj in prilepi« v terminalu za zagon zlonamernih skript. Ta pristop je zahteval večjo stopnjo ročne intervencije, kar je uporabniku dalo več možnosti, da posumi, da je nekaj narobe, in ustavi namestitev, preden škoda postane obsežnejša.
Analize oz Jamf Threat LabsVodilni Applov laboratorij za varnost naprav opisuje precej drugačno situacijo v najnovejši različici. Po njihovih poročilih je MacSync Stealer dal preskok k veliko bolj avtomatiziranemu in tihemu modelu okužbezmanjševanje vidnih znakov za žrtev in zanašanje na zaupanje, ki ga ustvarita Appleov podpis in notarska overitev.
Trik je v tem, da je prva faza napada predstavljena kot Aplikacija razvita v Swiftu, z veljavnim ID-jem razvijalca, veljavnim podpisom kode in opravljeno notarsko overitvijoZa operacijski sistem in večino uporabnikov je ta kombinacija sinonim za zanesljivo programsko opremo, v resnici pa je prvi člen v skrbno zasnovani verigi okužb.
V mnogih primerih grožnja pride prikrita kot storitev za sporočanje, orodje za produktivnost ali orodje za sinhronizacijoZ imenom, ikono in opisi, ki zvenijo povsem neškodljivo, ta fasada še dodatno zmanjšuje začetne sume – še posebej zaskrbljujočo podrobnost v evropskih pisarnah, javnih upravah in podjetjih, kjer se je Mac uveljavil kot vsakodnevno delovno orodje.
Namestitveni program Swift, ki zaobide Gatekeeper in deluje kot spuščalnik
Kampanja, ki jo opisuje Jamf, kaže, da prva komponenta grožnje deluje kot kapalko, napisano v SwiftuNavidezno legitimen namestitveni program, katerega pravi namen je pripraviti teren in prenesti dejansko zlonamerno kodo z oddaljenega strežnika. Sprva binarna datoteka Mach-O, ki jo vsebuje ta aplikacija ... Zdi se, da je podpisan in notarsko overjen, povezan z dejanskim ID-jem ekipe razvijalca.Zato zlahka opravi začetne preglede vratarja.
V enem od analiziranih primerov je bila kapalka razdeljena kot Slika diska DMG z imenom aplikacije za sporočanjepod imeni, kot je »zk-call-messenger-installer-3.9.2-lts.dmg«, in gostovane na domeni, pripravljeni za kampanjo. Namestitveni program se uporabniku predstavi kot domnevno orodje za klicanje in sporočanje, tako da Za zagon preprosto dvokliknite, brez zapletenih korakov starejših okužb.
Tudi če je paket podpisan, napadalci v nekaterih primerih dodajo Navodila, kako uporabnika prisiliti, da klikne z desno tipko miške in izbere »Odpri«To je klasičen trik za izogibanje dodatnim opozorilom macOS, ko aplikacija ne prihaja iz trgovine Mac App Store. Ta majhna podrobnost, ki jo mnogi spregledajo, bi morala sprožiti rdeče zastavice, še posebej, če programska oprema prihaja z neznanega spletnega mesta.
Ko uporabnik zažene aplikacijo, kapalka izvede vrsto okoljski pregledi pred prehodom na drugo fazoMed drugim preveri, ali ima računalnik stabilno internetno povezavo, preveri določene sistemske pogoje in v nekaterih primerih počaka na minimalni čas izvajanja, ki je blizu 3600 sekund da njihovo vedenje ne deluje preveč neposredno ali sumljivo.
Ko so izpolnjeni pogoji, ki jih postavijo napadalci, se program poveže z strežnik za oddaljeno upravljanje in nadzor za prenos kodirane skripte ali koristnega naloga, običajno v Base64, ki vsebuje jedro MacSync Stealer. Na tej stopnji je koda, odgovorna za kradejo informacije in ohranjajo nadzor nad ogroženim Macom, medtem ko je začetni namestitveni program omejen na delovanje kot trojanski konj.
Napihnjene datoteke DMG, vabljive datoteke in spremembe prenosa za izogibanje odkrivanju
Eden od vidikov, ki je raziskovalce najbolj pritegnil pozornost, je uporaba velike slike diskov, napolnjene z vabljivimi datotekamiDMG, povezan s tem namestitvenim programom, je približno 25,5 MB, kar je nenavadno veliko za nekaj, kar se na prvi pogled zdi preprosta aplikacija za sporočanje ali pripomoček za lažje delovanje.
Po podatkih Jamf Threat Labs je ta teža dosežena napihovanje paketa z nepomembnimi dokumenti, kot so PDF-ji ali druge vdelane datoteke ki ne prispevajo k funkcionalnosti aplikacije. Ta mešanica polnilne vsebine z dejansko komponento To otežuje avtomatizirano analizo, ki jo izvajajo protivirusne in varnostne rešitve.ki mora obdelati večjo količino podatkov in razlikovati, kaj je legitimno in kaj ne.
Po namestitvi slike diska in zagonu aplikacije se snemalnik zažene skeniranje lokalnega okolja preveriti vse od povezljivosti do določenih sistemskih parametrov. Šele ko je jasno, da je scenarij primeren, se obrne na oddaljeno infrastrukturo za prenos drugega modula. V mnogih primerih so obremenitve Predvsem se izvajajo v pomnilniku, kar pušča minimalen odtis na disku. in dodatno otežujejo poznejše forenzično odkrivanje.
Koda, prenesena v tej drugi fazi, ustreza MacSync, razvoj prejšnje družine, znane kot Mac.cNeodvisne preiskave kažejo, da je ta agent razvit v jeziku Go in ima vrsto zmogljivosti, ki daleč presegajo zgolj krajo gesel, kar sledi trendu drugih sodobnih groženj, ki ciljajo na macOS.
Za piko na i napadalci celo izpopolnijo svoje ukazi za prenos, uporabljeni v procesuUporaba orodij, kot so curl To se naredi z manj pogostimi kombinacijami parametrov – na primer z ločevanjem tipičnega niza -fsSL na zastavah, kot so -fL y -sSin vključitev možnosti, kot so --noproxy— z namenom izogibanje pravilom zaznavanja na podlagi ponavljajočih se vzorcev in izboljšajo zanesljivost povezave z njihovimi strežniki.
Od tatu podatkov do platforme za oddaljeno upravljanje
Bistvo MacSync Stealerja presega osnovno kategorijo infotealerja: tehnične analize opisujejo agent s polnimi zmogljivostmi poveljevanja in nadzora (C2), pripravljeni vzdrževati stalno komunikacijo s prizadeto ekipo in prejemati navodila v realnem času.
Med funkcijami, ki so pripisane tej družini, izstopajo naslednje: krajo poverilnic, piškotke brskanja, podatke o bančnih karticah in denarnice za kriptovalutekot tudi izkrcanje vseh vrst datotek, ki so zanimive za napadalce. Dostop do informacije, shranjene v verigi ključev macOS Podatki iz brskalnikov, kot so Safari, Chrome ali Firefox, so že zelo privlačna tarča za finančne goljufije in korporativno vohunjenje.
Druga občutljiva točka je sposobnost Namestite dodatne module po potrebiTa modularni pristop omogoča, da ogrožena ekipa postane nekakšen zlonamerni "švicarski nož": danes je poudarek morda na zbiranju gesel, jutri pa na beleženju pritiskov tipk, šifriranju datotek, lateralnem premikanju po poslovnem omrežju ali uvajanju novih orodij za oddaljeni dostop.
Za uporabnike in podjetja v Španiji in preostali Evropi je ta prehod od preprostega tatu podatkov do prilagodljiva platforma za daljinsko upravljanje To predstavlja znaten skok v stopnji tveganja. Okuženi Mac ni več zgolj enkratni vir ukradenih informacij in postane prehod do poslovnih omrežij, storitev v oblaku ali kritičnih sistemov do katerih ima naprava dostop.
Ta scenarij se ujema s širšim trendom, ki ga opažajo različna podjetja za kibernetsko varnost: Vztrajno povečanje števila kradljivcev informacij in modularnih trojanskih konjev, ki ciljajo na macOSTo je posledica naraščajočega tržnega deleža Applovih naprav in ekonomskega profila njihovih uporabnikov, zaradi česar so še posebej privlačna tarča spletnih goljufij.
Applov odziv in omejitve samodejne zaščite v sistemu macOS
Po opozorilih Jamf Threat Labs in drugih varnostnih podjetij, Apple je preklical potrdila za podpisovanje kode, povezana z ID-jem ekipe, ki se uporablja v kampanji MacSync Stealer.S tem ukrepom operacijski sistem preneha zaupati aplikacijam, podpisanim s tem identifikatorjem, in blokira nove različice, ki ga poskušajo uporabiti za distribucijo zlonamerne programske opreme.
Vzporedno je podjetje posodobilo svoj notranji zaščitni mehanizmi, kot sta XProtect in Gatekeeperz novimi pravili zaznavanja in seznami znanih zgoščevalnih vrednosti in podpisov. V trenutnih različicah macOS se ti črni seznami pogosto posodabljajo brez posredovanja uporabnika, zato je ključnega pomena poskrbeti za posodabljanje sistema in uporabite razpoložljive posodobitve, da boste lahko izkoristili te popravke in izboljšave.
Kljub temu strokovnjaki vztrajajo, da primer MacSync Stealer ponazarja splošni trend zlonamerne programske opreme za macOS: napadalci vse pogosteje poskušajo vstavite svojo kodo v podpisane in notarsko overjene izvedljive datoteketako da se zdijo popolnoma legitimne in zaupanja vredne aplikacije. Če to dosežejo, se verjetnost, da bo uporabnik prejel jasna opozorila, znatno zmanjša.
Poročila Jamfa in drugih podjetij poudarjajo, da tudi ko Apple prekliče ogrožena potrdila, Kibernetski kriminalci lahko registrirajo nove ID-je razvijalcev in ponovijo isto strategijo.s prilagajanjem majhnih podrobnosti za izogibanje novo dodanim pravilom. Ta igra mačke in miši sili izvorno obrambo macOS-a k dopolnitvi z dodatnimi plastmi.
Ta kontekst krepi idejo, da Varnost ne more biti odvisna izključno od avtomatskih zaščitČeprav so Gatekeeper, XProtect in postopek notarske overitve precej dvignili standarde, napadi, kot je MacSync Stealer, kažejo, da se mehanizmi zaupanja lahko uporabijo tudi proti uporabnikom, ko nekomu uspe v verigo preverjanja vriniti svojo aplikacijo.
Vpliv na uporabnike Maca v Španiji in Evropi ter najboljše prakse za zaščito
Širitev Maca v pisarne, univerze in domovi v Španiji in preostali Evropi macOS je postal vse bolj privlačna tarča kriminalnih združb. Ni več nišna platforma: vse več organizacij integrira macOS v svojo infrastrukturo, zaradi česar so grožnje, kot je MacSync Stealer, velik problem za regijo.
Strokovnjaki priporočajo krepitev tako tehničnih veščin kot vsakodnevnih navad. Prvi korak, na videz preprost, a temeljen, je Poskrbite za posodabljanje sistema macOS in aplikacij in izvajati redne varnostne kopijeKer Apple pogosto uvaja nove podpise in pravila blokiranja za tovrstne grožnje, ignoriranje varnostnih posodobitev odpira vrata različicam, ki so že dokumentirane in popravljene.
Poudarek je tudi na pomenu namestitev programske opreme omejite na trgovino Mac App Store ali pri znanih razvijalcihTudi če je namestitveni program podpisan in overjen, ta oznaka ni več absolutno zagotovilo za varnost, kot dokazuje ta primer. Prenos aplikacij s povezav, prejetih prek e-pošte, sporočil ali nezaupanja vrednih spletnih mest, znatno poveča tveganje za okužbo.
Drug ključni del je Bodite pozorni na dovoljenja, ki jih zahteva vsaka aplikacija.Dostop do ključev, uporabniških dokumentov, zgodovine brskalnika ali funkcij za dostopnost so dovoljenja, ki jih je treba podeljevati zmerno, zlasti pri uporabi brezplačnih orodij dvomljivega izvora. Številne uspešne okužbe so odvisne prav od tega. pretirana dovoljenja, ki jih je uporabnik sam sprejel brez pregleda.
V profesionalnem okolju, zlasti v Evropski uniji, je priporočljivo dopolniti Applovo obrambo z varnostne rešitve posebej za macOSOrodja EDR in jasne politike prenosa in namestitve programske opreme so bistvenega pomena. Ti ukrepi so še posebej pomembni za podjetja, za katera veljajo predpisi o varstvu podatkov, kjer lahko krajo poverilnic ali iztekanje informacij privede do kazni in izgube zaupanja.
Vse, kar obkroža MacSync Stealer, kaže, v kolikšni meri je Zlonamerna programska oprema za Mac ni več redkostNapadalci se zanašajo na podpisane in overjene izvedljive datoteke, napihujejo slike diskov z vabljivimi datotekami, prenašajo koristne podatke druge stopnje z oddaljenih strežnikov in nameščajo agente, ki so sposobni ukrasti podatke in vzdrževati oddaljeni nadzor nad računalniki. V tem scenariju je stara ideja, da so "Maci brez virusov", dokončno zastarela, zaščita pa zdaj vključuje kombinacijo Applove izvorne obrambe z dobre prakse uporabe in stalno spremljanje da preprečimo, da bi bil naš računalnik najšibkejši člen v verigi.