Обновление трояна для macOS: маскируется под подписанные приложения, создавая более скрытые риски для криптовалютных пользователей

BlockBeats сообщает, что 23 декабря главный директор по информационной безопасности SlowMist, 23pds, опубликовал сообщение, в котором поделился, что вредоносное ПО MacSync Stealer, активное на платформе macOS, претерпело заметную эволюцию, и уже были зафиксированы случаи кражи пользовательских активов. В пересланной им статье отмечается, что методы заманивания пользователей эволюционировали от ранних простых способов, таких как «перетаскивание в терминал» и «ClickFix», до подписанных кода и прошедших нотарификацию Apple приложений на Swift, что значительно повысило скрытность вредоносного ПО.

Исследователи обнаружили, что данный образ распространяется в виде дискового образа с названием zk-call-messenger-installer-3.9.2-lts.dmg, маскируясь под мессенджер или утилиту, чтобы побудить пользователей к скачиванию. В отличие от предыдущих версий, новая версия не требует от пользователя никаких действий в терминале — встроенная вспомогательная программа на Swift самостоятельно загружает и выполняет закодированный скрипт с удалённого сервера, завершая процесс кражи информации.

Данное вредоносное ПО уже подписано и прошло нотарификацию Apple, идентификатор команды разработчиков — GNJLS3UYZ4, и соответствующий хэш на момент анализа ещё не был отозван Apple. Это означает, что программа обладает более высоким «уровнем доверия» в рамках стандартных механизмов безопасности macOS и легче обходит бдительность пользователей. Исследование также показало, что размер этого DMG-файла аномально велик, внутри содержатся файлы-приманки, такие как PDF, связанные с LibreOffice, для дальнейшего снижения подозрительности.

Эксперты по безопасности отмечают, что подобные трояны-воры информации обычно нацелены на данные браузера, учётные данные и информацию о криптовалютных кошельках. По мере того как вредоносные программы начинают систематически злоупотреблять механизмами подписи и нотарификации Apple, пользователи криптоактивов в среде macOS сталкиваются с возрастающими рисками фишинга и утечки приватных ключей.