Mise à jour du cheval de Troie macOS : propagation via une application signée avec chiffrement des données utilisateur, augmentant le risque de furtivité

BlockBeats News, 23 décembre, le Chief Security Officer de SlowMist, 23pds, a partagé un post indiquant que le malware MacSync Stealer actif sur la plateforme macOS a connu une évolution significative, avec des actifs d'utilisateurs déjà dérobés. L'article partagé par lui mentionne que, passant des techniques initiales reposant sur le "glisser-déposer dans le terminal" et "ClickFix" pour piéger facilement, il est passé à la signature de code et à l'utilisation d'applications Swift notarized par Apple, améliorant considérablement sa furtivité.

Les chercheurs ont découvert que cet échantillon est diffusé sous la forme d'une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, déguisée en application de messagerie instantanée ou utilitaire afin d'inciter les utilisateurs à la télécharger. Contrairement au passé, la nouvelle version ne nécessite plus aucune opération dans le terminal de la part de l'utilisateur, mais est plutôt téléchargée et exécutée par un assistant Swift intégré depuis un serveur distant pour effectuer le processus de vol d'informations.

Ce malware a été signé et notarized avec succès par Apple, l'identifiant de l'équipe de développement étant GNJLS3UYZ4, et les hashes associés n'avaient pas été révoqués par Apple au moment de l'analyse. Cela signifie qu'il bénéficie d'une "fiabilité" accrue sous le mécanisme de sécurité macOS par défaut, ce qui facilite le contournement de la vigilance des utilisateurs. La recherche a également révélé que la taille du fichier DMG est inhabituellement grande, contenant des fichiers appâts tels que des PDF liés à LibreOffice pour réduire davantage la suspicion.

Les chercheurs en sécurité ont souligné que ce type de trojan voleur d'informations cible souvent les données des navigateurs, les identifiants de comptes et les informations des portefeuilles de cryptomonnaies. À mesure que les malwares abusent de plus en plus des mécanismes de signature et de notarization d'Apple, les utilisateurs de cryptomonnaies dans l'environnement macOS font face à des risques croissants de phishing et d'exposition de clés privées.