Kosken ekosysteemi Mac-tietokoneet Se on kohdannut uhan, joka pelaa jo eri liigassa: MacSync-varas, tietokoneisiin tunkeutuva haittaohjelma, joka on erikoistunut varastamaan tietoja hyödyntämällä Applen omia luotettavia järjestelmiäKaukana menneisyyden huonolaatuisista viruksista, tämä haittaohjelma esiintyy laillisena ja luotettavana sovelluksena, jolla on voimassa oleva kehittäjän allekirjoitus ja notaarin vahvistama vahvistusprosessi, myös Espanjassa ja muualla Euroopassa, kuten analyysit osoittavat. kyberhyökkäykset Macilla ja Linuxilla.
Uusimmissa muunnelmissaan tämä haitallisen koodin perhe Se toimii Swiftillä kirjoitettuna, Applen allekirjoittamana ja notaarin vahvistamana sovelluksena.Näin se voi ohittaa monia macOS:n alkuperäisiä turvatoimenpiteitä, mukaan lukien mekanismit, kuten Gatekeeper ja XProtect. Tämä merkittävä harppaus vaikeuttaa varhaista havaitsemista ja avaa oven... henkilökohtaisten ja yritystietojen hiljaiset vuodot sekä koti- että ammattiympäristöissä.
Mikä on MacSync Stealer ja miten se on kehittynyt macOS:ssä?
Ensimmäisissä esiintymisissään, Tartunta perustui tekniikoihin, jotka vaativat käyttäjän nimenomaisia toimiaHaitallisten komentosarjojen suorittamiseen käytettiin ClickFixin tai terminaalin klassisten "kopioi ja liitä" -komentojen kaltaisia menetelmiä. Tämä lähestymistapa vaati enemmän manuaalista toimintaa, mikä antoi käyttäjälle enemmän mahdollisuuksia epäillä, että jokin oli vialla, ja pysäyttää asennus ennen kuin vahingot laajenivat.
Analyysit Jamf Threat LabsApplen johtava laitetietoturvalaboratorio kuvaa uusimman version tilannetta melko erilaisena. Heidän raporttiensa mukaan MacSync Stealer on antanut... harppaus kohti paljon automatisoitumpaa ja hiljaisempaa tartuntamalliaminimoimalla uhrille näkyvät merkit ja luottamalla Applen allekirjoituksen ja notaarin vahvistaman luottamuksen luomaan.
Jujuna on siinä, että hyökkäyksen ensimmäinen vaihe esitetään Swiftillä kehitetty sovellus, jolla on laillinen kehittäjätunnus, voimassa oleva koodiallekirjoitus ja joka on läpäissyt notaarin vahvistuksenKäyttöjärjestelmälle ja useimmille käyttäjille tämä yhdistelmä on synonyymi luotettavalle ohjelmistolle, vaikka todellisuudessa se on ensimmäinen lenkki huolellisesti suunnitellussa tartuntaketjussa.
Monissa tapauksissa uhka saapuu naamioituneena viestipalvelu, tuottavuustyökalu tai synkronointiapuohjelmaTäysin harmittomilta kuulostavan nimen, kuvakkeen ja kuvausten ansiosta tämä julkisivu vähentää entisestään alkuperäisiä epäilyksiä – erityisen huolestuttava yksityiskohta eurooppalaisissa toimistoissa, julkishallinnoissa ja yrityksissä, joissa Macista on tullut vakiintunut päivittäinen työväline.
Swift-asennusohjelma, joka ohittaa Gatekeeperin ja toimii dropperina
Jamfin kuvailema kampanja osoittaa, että uhkan ensimmäinen osa toimii Swiftillä kirjoitettu pipettiNäennäisesti laillinen asennusohjelma, jonka todellinen tarkoitus on valmistella maaperää ja ladata varsinainen haitallinen koodi etäpalvelimelta. Aluksi tässä sovelluksessa oleva Mach-O-binääritiedosto... Se näyttää allekirjoitetulta ja notaarin vahvistamalta, ja se liittyy oikean kehittäjätiimin tunnukseen.Siksi se läpäisee helposti alustavat Gatekeeper-tarkistukset.
Yhdessä analysoiduista tapauksista pipetti jaettiin a:na DMG-levykuva, jossa on viestisovelluksen niminimillä, kuten ”zk-call-messenger-installer-3.9.2-lts.dmg”, ja se sijaitsee kampanjaa varten valmistellulla verkkotunnuksella. Asennusohjelma esittelee itsensä käyttäjälle oletettuna puhelu- ja viestityökaluna, joten Kaksoisnapsauta sitä suorittaaksesi senilman vanhempien infektioiden monimutkaisia vaiheita.
Vaikka paketti olisi allekirjoitettu, hyökkääjät voivat joissakin tilanteissa lisätä Ohjeet käyttäjän pakottamiseksi napsauttamaan hiiren kakkospainikkeella ja valitsemaan "Avaa"Tämä on klassinen kikka ohittaa macOS:n lisävaroitukset, kun sovellus ei ole peräisin Mac App Storesta. Tämä pieni yksityiskohta, jonka monet jättävät huomiotta, pitäisi herättää varoitusmerkkejä, varsinkin jos ohjelmisto on peräisin tuntemattomalta verkkosivustolta.
Kun käyttäjä käynnistää sovelluksen, pipetti suorittaa sarjan toimintoja ympäristötarkastukset ennen siirtymistä toiseen vaiheeseenMuiden vaiheiden ohella se varmistaa, että tietokoneella on vakaa internet-yhteys, tarkistaa tiettyjä järjestelmäehtoja ja joissakin tapauksissa odottaa lähellä olevaa vähimmäissuoritusaikaa. 3600 sekuntia jotta heidän käytöksensä ei vaikuta liian välittömältä tai epäilyttävältä.
Kun hyökkääjän asettamat ehdot täyttyvät, ohjelma muodostaa yhteyden ns. etäkomento- ja ohjauspalvelin ladatakseen koodatun skriptin tai hyötykuorman, yleensä Base64-muodossa, joka sisältää MacSync Stealer -ytimen. Tässä vaiheessa koodi, joka vastaa varastaa tietoja ja säilyttää hallussaan vaarantunutta Macia, kun taas alkuperäinen asennusohjelma toimii vain troijalaisena.
Täytetyt DMG-tiedostot, houkutustiedostot ja latausmuutokset havaitsemisen välttämiseksi
Yksi tutkijoiden eniten huomiota herättäneistä näkökohdista on ns. suuret levykuvat täynnä houkutustiedostojaTähän asennusohjelmaan liittyvä DMG on noin 25,5 MB, epätavallisen suuri määrä sovellukselle, joka näyttää pinnalta yksinkertaiselta viestisovellukselta tai kevyeltä apuohjelmalta.
Jamf Threat Labsin mukaan tämä paino saavutetaan paketin paisuttaminen epäolennaisilla dokumenteilla, kuten PDF-tiedostoilla tai muilla upotetuilla tiedostoilla jotka eivät lisää sovelluksen toiminnallisuutta mitenkään. Täyteaineen ja varsinaisen komponentin sekoitus Tämä vaikeuttaa virustorjunta- ja tietoturvaratkaisujen suorittamaa automatisoitua analyysiä.kenen on käsiteltävä suurempi määrä dataa ja erotettava, mikä on laillista ja mikä ei.
Kun levykuva on liitetty ja sovellus on suoritettu, dropper käynnistää paikallisen ympäristön skannaus tarkistamaan kaiken liitettävyydestä tiettyihin järjestelmäparametreihin. Vasta kun on selvää, että skenaario on sopiva, se ottaa yhteyttä etäinfrastruktuuriin ladatakseen toisen moduulin. Monissa tapauksissa kuormat ovat Ne toimivat pääasiassa muistissa, joten levylle jää vain vähän tilaa. ja mikä vaikeuttaa entisestään myöhempää rikosteknistä havaitsemista.
Tässä toisessa vaiheessa ladattu koodi vastaa MacSync, aiemman Mac.c-nimisen perheen kehitysaskelRiippumattomat tutkimukset osoittavat, että tämä agentti on kehitetty Go-kielellä ja sillä on useita ominaisuuksia, jotka ulottuvat paljon salasanojen varastamista pidemmälle, mikä seuraa muiden nykyaikaisten macOS:ään kohdistuvien uhkien trendiä.
Kaiken kukkuraksi hyökkääjät jopa hienosäätävät prosessissa käytetyt latauskomennotTyökalujen käyttö, kuten curl Se tehdään harvinaisemmilla parametriyhdistelmillä — esimerkiksi erottamalla tyypillinen merkkijono -fsSL lippujen päällä, kuten -fL y -sSja sisällyttämällä vaihtoehtoja, kuten --noproxy— tavoitteenaan toistuviin kuvioihin perustuvien havaitsemissääntöjen kiertäminen ja parantaa palvelimilleen muodostaman yhteyden luotettavuutta.
Tietovarkaasta etähallinta-alustaksi
MacSync Stealerin ydin ulottuu perus-infostealerin rajoja pidemmälle: tekniset analyysit kuvaavat agentti, jolla on täydet komento- ja valvontaominaisuudet (C2), valmiina ylläpitämään jatkuvaa viestintää asianomaisen tiimin kanssa ja vastaanottamaan reaaliaikaisia ohjeita.
Tälle perheelle omistetuista toiminnoista erottuvat seuraavat: tunnistetietojen varkaudet, selausevästeet, pankkikorttitiedot ja kryptovaluuttalompakotsekä kaikenlaisten hyökkääjiä kiinnostavien tiedostojen vuotaminen. Pääsy macOS-avainnippuun tallennetut tiedot Selaimista, kuten Safarista, Chromesta tai Firefoxista, kerätyt tiedot ovat jo erittäin houkuttelevia kohteita talouspetoksille ja yritysvakoilulle.
Toinen herkkä seikka on kyky Asenna lisämoduuleja tarvittaessaTämä modulaarinen lähestymistapa mahdollistaa sen, että vaarantuneesta tiimistä voi tulla eräänlainen haitallinen "linkkuveitsi": tänään painopiste voi olla salasanojen keräämisessä ja huomenna näppäinpainallusten kirjaamisessa, tiedostojen salaamisessa, yritysverkon kautta liikkumisessa tai uusien etäkäyttötyökalujen käyttöönotossa.
Espanjan ja muun Euroopan käyttäjille ja yrityksille tämä siirtyminen yksinkertaisesta tietovarasesta joustava etäohjausalusta Tämä edustaa merkittävää riskin kasvua. Tartunnan saanut Mac lakkaa olemasta vain kertaluonteinen varastetun tiedon lähde ja siitä tulee yhdyskäytävä yritysverkkoihin, pilvipalveluihin tai kriittisiin järjestelmiin johon laitteella on pääsy.
Tämä skenaario sopii yhteen laajemman trendin kanssa, jota useat kyberturvallisuusyritykset ovat havainneet: macOS:ään kohdistuvien tietovarkaiden ja modulaaristen troijalaisten jatkuva kasvuTätä ajaa Apple-laitteiden kasvava markkinaosuus ja niiden käyttäjien taloudellinen profiili, mikä tekee niistä erityisen houkuttelevan kohteen verkkopetoksille.
Applen vastaus ja automaattisen suojauksen rajoitukset macOS:ssä
Jamf Threat Labsin ja muiden tietoturvayritysten varoitusten jälkeen Apple on peruuttanut MacSync Stealer -kampanjassa käytetyn Team ID:n koodin allekirjoitussertifikaatit.Tällä toimenpiteellä käyttöjärjestelmä lakkaa luottamasta kyseisellä tunnisteella allekirjoitettuihin sovelluksiin ja estää uudet versiot, jotka yrittävät käyttää sitä haittaohjelmien levittämiseen.
Samanaikaisesti yhtiö on päivittänyt sisäiset suojausmekanismit, kuten XProtect ja Gatekeeperuusilla tunnistussäännöillä ja tunnettujen tiivisteiden ja allekirjoitusten luetteloilla. Nykyisissä macOS-versioissa näitä mustia listoja päivitetään usein ilman käyttäjän toimia, joten on tärkeää pidä järjestelmä ajan tasalla ja ota käyttöön saatavilla olevat päivitykset hyötyäksesi näistä korjauksista ja parannuksista.
Asiantuntijat kuitenkin väittävät, että MacSync Stealerin tapaus havainnollistaa... macOS:n haittaohjelmien yleinen trendihyökkääjät yrittävät yhä enemmän sovita koodisi allekirjoitettuihin ja notaarin vahvistamiin suoritettaviin tiedostoihinjotta ne vaikuttavat täysin laillisilta ja luotettavilta sovelluksilta. Jos ne onnistuvat tässä, todennäköisyys sille, että käyttäjä saa selkeitä varoituksia, pienenee merkittävästi.
Jamfin ja muiden yritysten raportit korostavat, että vaikka Apple peruuttaisi vaarantuneet varmenteet, Kyberrikolliset voivat rekisteröidä uusia kehittäjätunnuksia ja toistaa samaa strategiaa.mukauttamalla pieniä yksityiskohtia uusien sääntöjen kiertämiseksi. Tämä kissa ja hiiri -leikki pakottaa täydentämään macOS:n alkuperäisiä puolustuskeinoja lisäkerroksilla.
Tämä konteksti vahvistaa ajatusta, että Turvallisuus ei voi riippua pelkästään automaattisista suojauksistaVaikka Gatekeeper, XProtect ja notaariprosessi ovat nostaneet rimaa huomattavasti, hyökkäykset, kuten MacSync Stealer, osoittavat, että luottamusmekanismeja voidaan käyttää myös käyttäjiä vastaan, kun joku onnistuu ujuttamaan sovelluksensa vahvistusketjuun.
Vaikutus Mac-käyttäjiin Espanjassa ja Euroopassa sekä parhaat käytännöt suojautumiseen
Macin laajentuminen vuonna toimistot, yliopistot ja kodit Espanjassa ja muualla Euroopassa macOS:stä on tullut yhä houkuttelevampi kohde rikollisryhmille. Se ei ole enää niche-alusta: yhä useammat organisaatiot integroivat macOS:n infrastruktuuriinsa, mikä tekee uhista, kuten MacSync Stealerin, merkittävän ongelman alueella.
Asiantuntijat suosittelevat sekä teknisten taitojen että päivittäisten tapojen vahvistamista. Ensimmäinen askel, joka näyttää yksinkertaiselta mutta on perustavanlaatuinen, on Pidä macOS ja sovellukset ajan tasalla ja esiintyä säännölliset varmuuskopiotKoska Apple ottaa usein käyttöön uusia tunnisteita ja estosääntöjä tällaisille uhkille, tietoturvapäivitysten huomiotta jättäminen avaa oven jo dokumentoiduille ja korjatuille varianteille.
Myös painotetaan mm. rajoita ohjelmistojen asennus Mac App Storeen tai tunnettujen kehittäjien sivustoilleVaikka asennusohjelma näyttäisi olevan allekirjoitettu ja notaarin vahvistama, kyseinen tarra ei enää ole ehdoton tae turvallisuudesta, kuten tämä tapaus osoittaa. Sovellusten lataaminen sähköpostitse, viestien kautta tai epäluotettavilta verkkosivustoilta saatujen linkkien kautta lisää merkittävästi tartuntariskiä.
Toinen keskeinen osa on Kiinnitä huomiota kunkin sovelluksen pyytämiin käyttöoikeuksiin.Avainnipun, käyttäjätiedostojen, selaushistorian tai esteettömyysominaisuuksien käyttöoikeuksia tulisi myöntää harkiten, erityisesti kyseenalaisen alkuperän omaavien ilmaisohjelmien kanssa. Monet onnistuneet tartunnat ovat juuri tämän varassa. liialliset käyttöoikeudet, jotka käyttäjä itse hyväksyi tarkistamatta.
Ammattiympäristöissä, erityisesti Euroopan unionin sisällä, on suositeltavaa täydentää Applen puolustuskeinoja macOS:lle erityisesti tarkoitettuja tietoturvaratkaisujaEDR-työkalut ja selkeät ohjelmistojen lataus- ja asennuskäytännöt ovat välttämättömiä. Nämä toimenpiteet ovat erityisen tärkeitä yrityksille, joihin sovelletaan tietosuojasäännöksiä, joissa tunnistetietojen varastaminen tai tiedonkeruu voi johtaa seuraamuksiin ja luottamuksen menetykseen.
Kaikki MacSync Stealeria ympäröivä osoittaa, missä määrin Mac-haittaohjelmat eivät ole enää harvinaisuusHyökkääjät käyttävät allekirjoitettuja ja notaarin vahvistamia suoritettavia tiedostoja, täyttävät levykuvia houkutustiedostoilla, lataavat toisen vaiheen hyötykuormia etäpalvelimilta ja käyttävät agentteja, jotka pystyvät varastamaan tietoja ja ylläpitämään tietokoneiden etähallintaa. Tässä skenaariossa vanha ajatus siitä, että "Macit ovat viruksettomia", on lopullisesti vanhentunut, ja suojaukseen kuuluu nyt Applen natiivien puolustusmenetelmien yhdistäminen... hyvät käyttötavat ja jatkuva seuranta estääksemme tietokonettamme olemasta ketjun heikoin lenkki.