Hacking
Πώς το MacSync παρακάμπτει το Gatekeeper της Apple
Νέα παραλλαγή του MacSync παρακάμπτει το Gatekeeper της Apple, απειλώντας την ασφάλεια του macOS. TAGS: MacSync, macOS, Gatekeeper, Swift, κυβερνοασφάλεια, κακόβουλο λογισμικό
Η νέα απειλή που παρακάμπτει τις άμυνες της Apple
Οι ερευνητές κυβερνοασφάλειας αποκάλυψαν μια νέα παραλλαγή του macOS πληροφοριοκλέπτη, γνωστή ως MacSync. Αυτή η νέα απειλή διανέμεται μέσω μιας ψηφιακά υπογεγραμμένης και πιστοποιημένης εφαρμογής Swift, που προσποιείται ότι είναι εγκαταστάτης εφαρμογής μηνυμάτων, με στόχο να παρακάμψει τις δικλείδες ασφαλείας της Apple, όπως το Gatekeeper.
Μια πιο ύπουλη προσέγγιση
Σε αντίθεση με προηγούμενες εκδόσεις του MacSync Stealer, που βασίζονταν κυρίως σε τεχνικές τύπου drag-to-terminal ή ClickFix, αυτή η παραλλαγή υιοθετεί μια πιο απατηλή, αυτοματοποιημένη προσέγγιση. Ο ερευνητής της Jamf, Thijs Xhaflaire, εξηγεί ότι η τελευταία έκδοση διανέμεται ως μια υπογεγραμμένη και πιστοποιημένη εφαρμογή Swift μέσα σε ένα αρχείο δίσκου (DMG) με την ονομασία “zk-call-messenger-installer-3.9.2-lts.dmg”, που φιλοξενείται στο “zkcall[.]net/download”.
Παράκαμψη ασφαλείας μέσω ψηφιακής υπογραφής
Το γεγονός ότι η εφαρμογή είναι υπογεγραμμένη και πιστοποιημένη σημαίνει ότι μπορεί να εκτελεστεί χωρίς να μπλοκαριστεί από τις ενσωματωμένες δικλείδες ασφαλείας, όπως το Gatekeeper ή το XProtect. Παρόλα αυτά, ο εγκαταστάτης εμφανίζει οδηγίες που προτρέπουν τους χρήστες να κάνουν δεξί κλικ και να ανοίξουν την εφαρμογή — μια συνηθισμένη τακτική για την αποφυγή τέτοιων προστατευτικών μέτρων. Η Apple έχει ήδη ανακαλέσει το πιστοποιητικό υπογραφής κώδικα.
Η λειτουργία του dropper και οι νέες τεχνικές
Η εφαρμογή Swift, γνωστή ως dropper, εκτελεί μια σειρά ελέγχων πριν κατεβάσει και εκτελέσει ένα κωδικοποιημένο script μέσω ενός βοηθητικού στοιχείου. Αυτό περιλαμβάνει την επαλήθευση της συνδεσιμότητας στο διαδίκτυο, την επιβολή ενός ελάχιστου διαστήματος εκτέλεσης περίπου 3600 δευτερολέπτων για την επιβολή ορίου ρυθμού, και την αφαίρεση των χαρακτηριστικών καραντίνας και την επικύρωση του αρχείου πριν την εκτέλεση.
Τεχνικές απόκρυψης και εκτέλεσης
Ένα αξιοσημείωτο στοιχείο είναι ότι η εντολή curl που χρησιμοποιείται για την ανάκτηση του payload παρουσιάζει σαφείς αποκλίσεις από προηγούμενες παραλλαγές. Αντί να χρησιμοποιηθεί ο συνδυασμός -fsSL, τα flags έχουν χωριστεί σε -fL και -sS, και έχουν προστεθεί επιπλέον επιλογές όπως το –noproxy. Αυτές οι αλλαγές, μαζί με τη χρήση δυναμικά παραγόμενων μεταβλητών, δείχνουν μια σκόπιμη αλλαγή στον τρόπο με τον οποίο το payload ανακτάται και επικυρώνεται, πιθανώς με στόχο τη βελτίωση της αξιοπιστίας ή την αποφυγή ανίχνευσης.
Γιατί έχει σημασία
Αυτή η εξέλιξη αντικατοπτρίζει μια γενικότερη τάση στον τομέα του κακόβουλου λογισμικού για macOS, όπου οι επιτιθέμενοι προσπαθούν όλο και περισσότερο να εισάγουν το κακόβουλο λογισμικό τους σε εκτελέσιμα αρχεία που είναι υπογεγραμμένα και πιστοποιημένα, κάνοντάς τα να μοιάζουν με νόμιμες εφαρμογές. Η χρήση τέτοιων τεχνικών παρακάμπτει τις υπάρχουσες άμυνες και απαιτεί από τους χρήστες και τους διαχειριστές συστημάτων να είναι ακόμα πιο προσεκτικοί στην εγκατάσταση εφαρμογών από το διαδίκτυο.
