Нов вариант на Зловредният софтуер MacSync е специализиран в кражба на информация Това предизвика тревога в екосистемата на macOS. Заплахата, която вече е причинила загуба на криптовалута от някои потребители, е забележителна, защото успява да изпълни злонамерен код, докато се маскира като легитимно, подписано приложение, като по този начин заобикаля вградените защити на Apple.
Според различни разследвания лаборатории за безопасност, включително Jamf Threat Labs и крипто-фокусирани фирми като SlowMist, това MacSync от следващо поколение използва процеса на подписване и нотариално заверяване на Apple да спечелят доверието на операционната система. Резултатът е особено тревожен за потребителите в Европа и Испания, които управляват идентификационни данни, чувствителни данни или портфейли с криптовалута от своите Mac компютри, убедени, че Gatekeeper и нотариалната заверка са достатъчна защита.
Все по-усъвършенстван крадец на информация
Анализаторите описват този вариант като macOS-фокусиран крадец на информация, способен да събира широк набор от данниПотвърдените цели включват идентификационни данни, съхранени в iCloud ключодържателя, пароли, запазени в браузъри, системни метаданни, избрани дискови файлове и информация от портфейли с криптовалута и свързани разширения.
MacSync не е нов: за първи път се появи около април 2025 г. под името Mac.C, свързано с актьор, известен като „Mentalpositive“ във форумите за киберпрестъпленияОт лятото насам, приложението започна да набира скорост, позиционирайки се на все още малкия, но печеливш пазар за кражба на информация в macOS, редом със семейства като AMOS или Odyssey.
Предишни доклади, като този от подразделението Moonlock на MacPaw, вече предупреждаваха за способността му да извличане на данни от локални крипто портфейлидокументи и идентификационни данни за облачни услуги. Най-новият вариант запазва този фокус, но засилва преди всичко аспектите на избягване и скритост, повишавайки летвата на заплахата за домашните потребители и бизнеса.
В европейски контекст, където употребата на Mac е особено висока в творческия, технологичния и финансовия сектор, Крадец с този диапазон представлява пряк риск за защитата на данните., спазване на GDPR и защита на високоценни цифрови активи.
Как се заобикаля Gatekeeper и нотариалната заверка?
Ключовата промяна спрямо предишните поколения е методът на разпространение. Вместо да се разчита на трикове за социално инженерство като „плъзгане към терминал“ или ръководства за ръчно изпълнение на скриптове, текущата кампания MacSync доставя в рамките на подписано и нотариално заверено Swift приложение, опакован в образ на диск (DMG), който е представен като легитимен инсталатор.
Jamf уточнява, че един от анализираните пакети пристига във файл, наречен „zk-call-messenger-installer-3.9.2-lts.dmg“, разпространяван от привидно легитимен уебсайтВътре е включено универсално приложение Mach-O, с валиден подпис и нотариално заверен билет, одобрен от Apple към момента на анализа, свързан с Team ID GNJLS3UYZ4.
Благодарение на този подпис и нотариална заверка, инсталаторът получава преминават през проверките на Gatekeeper, без да събуждат подозрениеПотребителят вижда софтуер, който macOS разпознава като проверен, което минимизира предупрежденията и препятствията при отварянето му. След като се изпълни, приложението действа като „dropper“: то декодира и разгръща злонамерен полезен товар, който съдържа действителния крадец на зловредни програми.
След като получи уведомление от изследователите, Apple, според съобщенията, продължи да отмяна на сертификата, свързан с тази кампанияИнцидентът обаче показва, че нападателите са способни да получат валидни подписи, да се адаптират бързо и да злоупотребяват с механизмите за доверие, които Apple е проектирала именно за защита на потребителите.
Техники за избягване: раздути файлове, изтриване на следи и изпълнение в паметта
Освен подпис и нотариална заверка, MacSync включва няколко слоя за избягване на грешки, предназначени да... да заобиколят както автоматизирания анализ, така и традиционните инструменти за сигурностЕдна от най-поразителните тактики е „раздуването на файлове“: нападателите увеличават размера на DMG изображението до около 25,5 MB, като вмъкват PDF файлове-примамки или други безобидни файлове, така че злонамереният код да се разреди в привидно легитимен обем.
Друга често срещана мярка е систематично изтриване на скриптовете, използвани във веригата за изпълнениеСлед като дропърът си свърши работата и полезният товар бъде стартиран, междинните скриптове се премахват от системата, което значително намалява следите, които криминалистичният анализатор би могъл по-късно да открие на диска.
Изследователите също са наблюдавали Проверки на интернет връзката преди пълното активиране на процеса на зарежданеАко зловредният софтуер открие, че няма достъп до мрежата или че се намира в подозрителна среда – например изолирана пясъчник без реален трафик – той може да промени поведението си или просто да не изпълни определени части, с цел да осуети анализа.
Голяма част от злонамерената логика се изпълнява в паметта, като приложението Swift действа като първоначален инструмент. Това усложнява работата на Антивирусни и EDR решения, които разчитат предимно на сканиране на файлове или статични подписи. Джамф посочва, че комбинацията от подписано приложение, функция за подаване на данни в паметта и изтриването на доказателства отразява скок в сложността в сравнение с ранните кампании на MacSync.
Кражба на криптовалути и идентификационни данни: основната плячка
Едно от най-сериозните последици от тази кампания е директна кражба на цифрови активи, особено криптовалутиSlowMist, чрез своя директор по сигурността, потвърди, че няколко потребители вече са претърпели загуби на средства след заразяване, без атака срещу борси или насилствен достъп до техните акаунти: нападателите просто са получили ключовете и данните за възстановяване от компрометираните устройства.
Крадецът е предназначен да Извличане на информация от локални портфейли, разширения на браузъра и настолни приложения които управляват крипто активи. След като получат seed код, частни ключове или фрази за възстановяване, престъпниците могат да изпразнят портфейлите си за минути, без реална възможност за отмяна на транзакциите – нещо особено критично за европейските инвеститори и компании с крипто активи.
Заедно с портфейлите, MacSync е насочен към iCloud ключодържател, където много потребители съхраняват пароли за банкови услуги, имейл и корпоративни платформиТой е насочен и към идентификационни данни на браузъра, запазени сесии и файлове, които могат да съдържат чувствителна бизнес информация. Следователно рискът не се ограничава до финансите на потребителя, а се простира до сигурността на акаунти и данни на трети страни.
В Испания, където интересът към криптовалутите рязко се увеличи през последните години и е обичайно да се търгува от личен лаптоп, Комбинацията от MacSync и лоши практики за съхранение увеличава шансовете за тиха кражба.Много жертви не осъзнават проникването, докато не проверят баланса на портфейла си или не получат необичайни известия за влизане.
MacSync и пейзажът на заплахите за macOS в Европа
Еволюцията на MacSync се вписва в по-широка тенденция: macOS вече не е „вторична“ цел за киберпрестъпницитеРъстът на пазарния дял на Apple в Европа, съчетан с схващането, че „зловредният софтуер не прониква в Mac компютрите“, създаде привлекателна екосистема за целенасочени кампании и кражби на висока стойност.
Няколко скорошни доклада показват увеличение на Крадци и троянски коне, които разчитат на уж легитимни приложения„Кракнат“ софтуер или инсталатори, маскирани като инструменти за продуктивност. Семейства като AMOS, Odyssey или самия MacSync се продават в подземни форуми като готови за употреба услуги, което намалява бариерата за навлизане за нападателите с малък технически опит.
В страни от ЕС, където употребата на Mac в креативни компании, медии, професионални фирми или технологични стартиращи компании е много висока, Подобен ангажимент може да се превърне в портал към цели корпоративни мрежи.Използването на подписани и нотариално заверени приложения допълнително усложнява задачата на ИТ екипите, които често разчитат на подписа като основен индикатор за надеждност.
Европейските медии и специализирани портали започнаха да отделят място на този вариант на MacSync, подчертавайки, че Защитите на Apple – Gatekeeper, нотариална заверка, XProtect – са необходими, но не са достатъчни ако потребителят продължава да инсталира софтуер от непроверени източници или игнорира най-основните предупредителни знаци.
Поуки за потребители и фирми в Испания и ЕС
Експертите са съгласни, че случаят с MacSync трябва да послужи за урок Известие за преразглеждане на определени практики за инсталиране и администриране на софтуерЗа домашните потребители първата препоръка е да избягват, доколкото е възможно, изтеглянето на приложения, плъгини или инсталатори от неизвестни уебсайтове, връзки, разпространявани в социалните мрежи, или неофициални сайтове за изтегляне.
Дори когато инсталаторът се появи като „сигурен“ с macOS, защото е подписан и нотариално заверенСтрува си да се запитате дали източникът е надежден, дали наистина имате нужда от инструмента и дали има алтернатива в Mac App Store или на официалния уебсайт на разработчика. Вниманието към предполагаеми чудодейни корекции, „безплатни“ версии на платени приложения или актуализации, които не сте поискали, може да ви спести много проблеми.
За тези, които управляват криптовалути от Mac, препоръките отиват още една стъпка: съхранявайте по-голямата част от средствата в хардуерни портфейлиИзползвайте портфейли само за четене на основния компютър и отделете, доколкото е възможно, средата за ежедневно сърфиране от устройството, където се подписват транзакциите.
За испанските и европейските компании MacSync ясно показва, че Разчитането единствено на вградените контроли на Apple не е достатъчно, за да се защити цял парк от Mac-ове.Изключително важно е да се внедрят решения за сигурност на крайните точки с възможности за поведенчески анализ, да се преглеждат политиките за изпълнение на софтуер (напр. ограничаване на инсталирането до надеждни приложения и одобрени хранилища) и да се наблюдават подозрителни изходящи връзки към командни и контролни сървъри.
Предизвикателството пред Apple и бъдещето на сигурността в macOS
Коментарите на самия автор на MacSync в интервюта с изследователи показват, че Решенията на Apple относно нотариалната заверка са повлияли пряко върху дизайна на зловредния софтуер.Затягането на политиките в macOS 10.14.5 и по-нови версии принуди атакуващите да намерят нови начини за поддържане на процента на заразяване, като в крайна сметка предприеха същия маршрут като легитимните разработчици: изпращане на приложения за преглед и подписване.
Тази игра на котка и мишка показва, че Нотариалната заверка сама по себе си не може да бъде крайната точка на стратегията за сигурностВъпреки че Apple извършва автоматични сканирания и отменя сертификати, когато открие злоупотреба, интервалите между появата на нов вариант и ефективното му блокиране остават прозорец, който престъпните групи използват за разпространение на зловреден софтуер.
Няколко експерти по киберсигурност се застъпват за укрепване на механизмите за откриване, базирано на поведение, и телеметрия в реално времеинтегрирани в самата операционна система. Те също така посочват желателността от подобряване на видимостта и инструментите за контрол за администраторите в корпоративни среди, така че те да могат да установят по-строги бели списъци и по-усъвършенствани правила за изпълнение.
В същото време, общността по сигурност – включително доставчиците на услуги за управление на устройства на Apple и специализираните лаборатории – разширява сътрудничеството си с компанията. споделяне на индикатори за компрометиране и модели на атака да се ускори реакцията на кампании като MacSync. Скоростта, с която сертификатът, свързан с този вариант, беше отменен, демонстрира тази координация, въпреки че целта остава допълнително съкращаване на времето за реакция.
Всичко, което се случи с MacSync, показва, че екосистемата на macOS, колкото и защитена да е, не е имунизирана срещу заплахи, които знаят как да играят по свои собствени правила: зловреден софтуер, способен да се представя като подписано и нотариално заверено приложение на Swift, да зарежда инсталаторите си с файлове-примамки, да изтрива следите си и да краде всичко - от пароли до криптовалути, принуждава както Apple, така и потребителите и компаниите в Испания и останалата част от Европа да... Направете крачка напред в навиците, контрола и технологиите за защита ако не искат да разберат за нападението едва когато е твърде късно.
