Az ökoszisztéma Mac számítógépek Egy olyan fenyegetéssel találkozott, amely már egy másik ligában játszik: MacSync Stealer, egy számítógépekbe beszivárgó, információk ellopására szakosodott kártevő az Apple saját megbízható rendszereinek kihasználásaTávol a múlt silány vírusaitól, ez a rosszindulatú szoftver legitim és megbízható alkalmazásként mutatja magát, érvényes fejlesztői aláírással és közjegyző által hitelesített ellenőrzési folyamattal, Spanyolországban és Európa többi részén is, ahogy azt az elemzések is mutatják. kibertámadások Mac és Linux rendszeren.
Legújabb változataiban ez a rosszindulatú kódcsalád Swift nyelven írt, az Apple által aláírt és hitelesített alkalmazásként fut.Ez lehetővé teszi a macOS számos kezdeti biztonsági intézkedésének megkerülését, beleértve a Gatekeeperhez és az XProtecthez hasonló mechanizmusokat is. Ez a jelentős ugrás megnehezíti a korai észlelést, és megnyitja az utat... személyes és vállalati adatok csendes kiszivárgása mind otthoni, mind professzionális környezetben.
Mi a MacSync Stealer, és hogyan fejlődött a macOS-ben?
Első megjelenésein, A fertőzés olyan technikákra támaszkodott, amelyek explicit felhasználói beavatkozást igényeltekA ClickFixhez vagy a Terminál klasszikus „másolás és beillesztés” parancsaihoz hasonló módszereket használtak a rosszindulatú szkriptek futtatásához. Ez a megközelítés nagyobb fokú manuális beavatkozást igényelt, így a felhasználónak több lehetősége volt arra, hogy gyanakodjon valamire, és leállítsa a telepítést, mielőtt a kár nagyobb mértékűvé válna.
Az elemzések Jamf Threat LabsAz Apple vezető eszközbiztonsági laboratóriuma meglehetősen eltérő helyzetet ír le a legújabb változatban. Jelentésük szerint a MacSync Stealer... egy ugrás a sokkal automatizáltabb és csendesebb fertőzési modell feléminimalizálva a látható jeleket az áldozat számára, és az Apple aláírása és közjegyzői hitelesítése által generált bizalomra támaszkodva.
A trükk az, hogy a támadás első fázisát úgy mutatják be, mint egy Swiftben fejlesztett alkalmazás, érvényes fejlesztői azonosítóval, érvényes kódaláírással és közjegyző által hitelesített változatbanAz operációs rendszer és a legtöbb felhasználó számára ez a kombináció egyet jelent a megbízható szoftverrel, miközben valójában ez az első láncszem egy gondosan megtervezett fertőzési láncban.
Sok esetben a fenyegetés álruhában érkezik üzenetküldő szolgáltatás, termelékenységi eszköz vagy szinkronizálási segédprogramEgy teljesen ártalmatlannak tűnő névvel, ikonnal és leírással ez a látszat tovább csökkenti a kezdeti gyanút – ami különösen aggasztó részlet az európai irodákban, közigazgatásokban és olyan vállalatoknál, ahol a Mac a mindennapi munkaeszközzé vált.
Egy Swift telepítő, amely megkerüli a Gatekeepert és dropperként működik
A Jamf által leírt kampány azt mutatja, hogy a fenyegetés első összetevője egyfajta Swiftben írt cseppentőEgy látszólag legitim telepítő, akinek a valódi célja a terep előkészítése és a rosszindulatú kód letöltése egy távoli szerverről. Kezdetben az alkalmazásban található Mach-O bináris fájl... Úgy tűnik, aláírt és közjegyző által hitelesített, és egy valódi fejlesztői csapatazonosítóhoz kapcsolódik.Ezért könnyedén átmegy a kezdeti Gatekeeper ellenőrzéseken.
Az elemzett esetek egyikében a cseppentőt a következőképpen osztották szét: DMG lemezkép üzenetküldő alkalmazás nevévelolyan neveken, mint például a „zk-call-messenger-installer-3.9.2-lts.dmg”, és a kampányhoz előkészített domainen található. A telepítő a felhasználónak állítólagos hívás- és üzenetküldő eszközként mutatja be magát, így Egyszerűen kattintson duplán a futtatásához, a régebbi fertőzések bonyolult lépései nélkül.
Még ha a csomag alá is van írva, bizonyos esetekben a támadók hozzáadhatnak Utasítások a felhasználó jobb gombbal történő kattintására és a „Megnyitás” kiválasztásáraEz egy klasszikus trükk a további macOS figyelmeztetések megkerülésére, ha az alkalmazás nem a Mac App Store-ból származik. Ez az apró részlet, amelyet sokan figyelmen kívül hagynak, intő jeleket kell, hogy vessen véka alá, különösen, ha a szoftver egy ismeretlen webhelyről származik.
Miután a felhasználó elindította az alkalmazást, a dropper egy sor műveletet hajt végre környezetvédelmi ellenőrzések a második fázisba való átlépés előttTöbbek között ellenőrzi, hogy a számítógép stabil internetkapcsolattal rendelkezik-e, ellenőrzi bizonyos rendszerfeltételeket, és bizonyos esetekben megvárja a minimális végrehajtási időt, amely közel van a következőhöz: 3600 másodperc hogy viselkedésük ne tűnjön túl közvetlennek vagy gyanúsnak.
Amikor a támadók által meghatározott feltételek teljesülnek, a program csatlakozik egy távoli parancs- és vezérlőkiszolgáló egy kódolt szkript vagy hasznos adat letöltéséhez, általában Base64-ben, amely tartalmazza a MacSync Stealer magot. Ebben a szakaszban a kód felelős a következőkért: információkat lopni és fenntartani az irányítást a feltört Mac felett, míg a kezdeti telepítő trójai falóként való működésre korlátozódik.
Felfújt DMG fájlok, csalifájlok és letöltési változtatások az észlelés elkerülése érdekében
Az egyik szempont, ami a kutatók figyelmét leginkább felkeltette, a ... használata. nagy lemezképek, tele csalifájlokkalA telepítőhöz társított DMG körülbelül 25,5 MB, ami szokatlanul magas mennyiség ahhoz képest, ami elsőre egy egyszerű üzenetküldő alkalmazásnak vagy könnyű segédprogramnak tűnik.
A Jamf Threat Labs szerint ezt a súlyt a következőképpen érik el: a csomag felfújása irreleváns dokumentumokkal, például PDF-ekkel vagy más beágyazott fájlokkal amelyek semmit sem tesznek hozzá az alkalmazás funkcionalitásához. A töltőanyag és a tényleges komponens keveréke Ez bonyolítja a víruskereső és biztonsági megoldások által végzett automatizált elemzést.akiknek nagyobb mennyiségű adatot kell feldolgozniuk, és különbséget kell tenniük a jogos és a nem jogos között.
A lemezkép csatolása és az alkalmazás futtatása után a dropper elindít egy helyi környezet szkennelése hogy mindent ellenőrizzen a csatlakozástól bizonyos rendszerparaméterekig. Csak akkor lép kapcsolatba a távoli infrastruktúrával a második modul letöltése érdekében, ha egyértelmű, hogy a forgatókönyv megfelelő. Sok esetben a terhelések Elsősorban a memóriában futnak, minimális helyet hagyva a lemezen. és tovább bonyolítja a későbbi törvényszéki felderítést.
A második fázisban letöltött kód a következőnek felel meg: A MacSync, egy korábbi, Mac.c néven ismert család továbbfejlesztéseFüggetlen vizsgálatok azt mutatják, hogy ezt az ügynököt Go nyelven fejlesztették ki, és a jelszavak egyszerű ellopásán messze túlmutató képességekkel rendelkezik, követve a macOS-t célzó más modern fenyegetések trendjét.
Ráadásul a támadók még a sajátjukat is finomhangolják a folyamatban használt letöltési parancsokAz olyan eszközök használata, mint például curl Ez kevésbé gyakori paraméterkombinációkkal történik – például a tipikus karakterlánc elválasztásával -fsSL olyan zászlókon, mint -fL y -sSés olyan opciókat is beépítve, mint --noproxy– azzal a céllal, hogy ismétlődő mintákon alapuló észlelési szabályok megkerülése és javítsák a szervereikkel való kapcsolat megbízhatóságát.
Az adattolvajtól a távirányító platformig
A MacSync Stealer lényege túlmutat az alapvető infostealer kategórián: a technikai elemzések egy teljes parancsnoki és irányítási (C2) képességekkel rendelkező ügynök, felkészülve arra, hogy folyamatos kommunikációt tartson fenn az érintett csapattal és valós idejű utasításokat fogadjon.
A családhoz rendelt funkciók közül a következők kiemelkednek: hitelesítő adatok ellopása, böngészési sütik, bankkártyaadatok és kriptovaluta pénztárcákvalamint a támadók számára érdekes összes fájltípus kiszivárgását. Hozzáférés a következőkhöz: a macOS kulcstartóban tárolt információk Az olyan böngészőkből származó adatok, mint a Safari, a Chrome vagy a Firefox, már most is nagyon vonzó célpontjai a pénzügyi csalásoknak és a vállalati kémkedésnek.
Egy másik érzékeny pont az a képesség, hogy További modulok telepítése igény szerintEz a moduláris megközelítés lehetővé teszi, hogy a feltört csapat egyfajta rosszindulatú „svájci bicskává” váljon: ma a hangsúly a jelszavak gyűjtésére, holnap pedig a billentyűleütések naplózására, a fájlok titkosítására, a vállalati hálózaton keresztüli laterális mozgásra vagy új távoli hozzáférési eszközök telepítésére helyeződhet.
A spanyolországi és európai felhasználók és vállalkozások számára ez az átmenet egy egyszerű adattolvajból egy… rugalmas távirányító platform Ez jelentős ugrást jelent a kockázat szintjében. Egy fertőzött Mac már nem csupán egyszeri ellopott információforrás, hanem... átjáró vállalati hálózatokhoz, felhőszolgáltatásokhoz vagy kritikus rendszerekhez amelyhez a készülék hozzáfér.
Ez a forgatókönyv illeszkedik a különféle kiberbiztonsági cégek által megfigyelt szélesebb körű trendhez: a a macOS-t célzó információlopók és moduláris trójai programok számának tartós növekedéseEzt az Apple eszközök növekvő piaci részesedése és a felhasználók gazdasági profilja vezérli, ami különösen vonzó célponttá teszi őket az online csalások számára.
Az Apple válasza és az automatikus védelem korlátai a macOS-ben
A Jamf Threat Labs és más biztonsági cégek figyelmeztetéseit követően, Az Apple visszavonta a MacSync Stealer kampányban használt Team ID-hez társított kódaláíró tanúsítványokat.Ezzel az intézkedéssel az operációs rendszer nem bízik meg az adott azonosítóval aláírt alkalmazásokban, és blokkolja azokat az új verziókat, amelyek megpróbálják azt rosszindulatú szoftverek terjesztésére használni.
Ezzel párhuzamosan a vállalat frissítette a belső védelmi mechanizmusok, mint például az XProtect és a Gatekeeperúj észlelési szabályokkal és az ismert hashek és aláírások listáival. A macOS jelenlegi verzióiban ezek a feketelisták gyakran frissülnek felhasználói beavatkozás nélkül, ezért kulcsfontosságú tartsa naprakészen a rendszert és alkalmazza az elérhető frissítéseket, hogy kihasználhassa a javítások és fejlesztések előnyeit.
A szakértők ennek ellenére ragaszkodnak ahhoz, hogy a MacSync Stealer esete egy jó példát mutat be. a macOS-re telepített rosszindulatú programok általános trendjea támadók egyre inkább megpróbálják illeszd be a kódodat aláírt és közjegyző által hitelesített futtatható fájlokbaígy teljesen legitim és megbízható alkalmazásoknak tűnnek. Ha ezt elérik, jelentősen csökken annak valószínűsége, hogy a felhasználó egyértelmű figyelmeztetéseket kapjon.
A Jamf és más cégek jelentései azt mutatják, hogy még akkor is, ha az Apple visszavonja a veszélyeztetett tanúsítványokat, A kiberbűnözők új fejlesztői azonosítókat regisztrálhatnak, és megismételhetik ugyanazt a stratégiát.apró részletek adaptálásával, hogy megkerüljék az újonnan hozzáadott szabályokat. Ez a macska-egér játék arra kényszeríti a natív macOS védelmet, hogy további rétegekkel egészítsék ki.
Ez a kontextus megerősíti azt az elképzelést, hogy A biztonság nem függhet kizárólag az automatikus védelemtőlBár a Gatekeeper, az XProtect és a közjegyzői hitelesítési folyamat jelentősen emelte a lécet, az olyan támadások, mint a MacSync Stealer, azt mutatják, hogy a bizalmi mechanizmusok a felhasználók ellen is alkalmazhatók, ha valakinek sikerül beillesztenie az alkalmazását az ellenőrzési láncba.
A spanyolországi és európai Mac-felhasználókra gyakorolt hatás és a védelem legjobb gyakorlatai
A Mac bővítése irodák, egyetemek és otthonok Spanyolországban és Európa többi részén A macOS egyre vonzóbb célponttá vált a bűnözői csoportok számára. Már nem csak egy niche platformról van szó: egyre több szervezet integrálja a macOS-t az infrastruktúrájába, így az olyan fenyegetések, mint a MacSync Stealer, komoly problémát jelentenek a régió számára.
A szakértők azt javasolják, hogy erősítsük mind a technikai készségeinket, mind a mindennapi szokásainkat. Az első lépés, látszólag egyszerű, de alapvető, a következő: Tartsa naprakészen a macOS-t és az alkalmazásokat és előadják rendszeres biztonsági mentésekMivel az Apple gyakran vezet be új aláírásokat és blokkoló szabályokat az ilyen típusú fenyegetésekre, a biztonsági frissítések figyelmen kívül hagyása nyitva hagyja az utat a már dokumentált és javított variánsok előtt.
Hangsúlyt fektetnek a következők fontosságára is: a szoftvertelepítést a Mac App Store-ra vagy ismert fejlesztőkre korlátozzaMég ha a telepítő aláírtnak és közjegyző által hitelesítettnek is tűnik, ez a címke már nem jelent abszolút garanciát a biztonságra, amint azt ez az eset is mutatja. Az e-mailben, üzenetküldésben vagy nem megbízható webhelyekről kapott linkekről származó alkalmazások letöltése jelentősen növeli a fertőzés kockázatát.
Egy másik kulcsfontosságú darab Figyeljen oda az egyes alkalmazások által kért engedélyekre.A kulcstartóhoz, a felhasználói dokumentumokhoz, a böngészési előzményekhez vagy az akadálymentesítési funkciókhoz való hozzáférés olyan engedélyek, amelyeket csak mértékkel kell megadni, különösen kétes eredetű ingyenes segédprogramok esetén. Sok sikeres fertőzés pontosan erre épül. túlzott engedélyek, amelyeket a felhasználó maga elfogadott jóváhagyás nélkül.
Professzionális környezetben, különösen az Európai Unión belül, célszerű az Apple védekezését kiegészíteni a következőkkel: macOS-re kifejezetten optimalizált biztonsági megoldásokAz EDR-eszközök, valamint az egyértelmű szoftverletöltési és -telepítési szabályzatok elengedhetetlenek. Ezek az intézkedések különösen fontosak az adatvédelmi szabályozás hatálya alá tartozó vállalatok számára, ahol a hitelesítő adatok ellopása vagy az információk ellopása büntetésekhez és bizalomvesztéshez vezethet.
Minden, ami a MacSync Stealert körülveszi, azt mutatja, hogy milyen mértékben A Mac kártevők már nem ritkaságszámba mennekA támadók aláírt és közjegyző által hitelesített futtatható fájlokra támaszkodnak, lemezképeket töltenek fel csalifájlokkal, második fázisú hasznos adatokat töltenek le távoli szerverekről, és olyan ügynököket telepítenek, amelyek képesek adatokat ellopni és távoli irányítást fenntartani a számítógépek felett. Ebben a forgatókönyvben a régi elképzelés, hogy „a Macek vírusmentesek”, véglegesen elavult, és a védelem most az Apple natív védelmének ötvözését jelenti a... helyes használati gyakorlatok és folyamatos ellenőrzés hogy megakadályozzuk, hogy a számítógépünk legyen a lánc leggyengébb láncszeme.