Вредоносная программа для macOS эволюционирует: теперь маскируется под подписанные приложения, создавая более скрытую угрозу для пользователей криптовалют

Специалист по информационной безопасности компании SlowMist под ником 23pds сообщил, что вредоносное ПО MacSync Stealer, действующее в среде macOS, значительно усовершенствовалось, и уже были зафиксированы случаи кражи средств пользователей.

Если ранее злоумышленники использовали простые методы обмана, такие как просьба перетащить файл в терминал, то теперь они применяют подписанный код и приложения, прошедшие процедуру нотаризации Apple, что делает угрозу гораздо менее заметной.

Вредоносная программа распространяется в виде дискового образа с именем `zk-call-messenger-installer-3.9.2-lts.dmg`, маскируясь под установщик мессенджера или другого полезного приложения. Новая версия не требует от пользователя действий в терминале. Вместо этого встроенная вспомогательная программа на Swift самостоятельно загружает и выполняет скрипт с удаленного сервера для кражи данных.

Это приложение имеет действительную цифровую подпись (ID разработчика: GNJLS3UYZ4) и прошло нотаризацию Apple. На момент анализа его сертификаты не были отозваны, что позволяет ему легче обходить стандартные средства защиты macOS и не вызывать подозрений у пользователей. Для дополнительной маскировки вредоносный DMG-файл имеет необычно большой размер, так как содержит файлы-приманки, например, документы LibreOffice.

Эксперты предупреждают, что подобные программы-воры обычно нацелены на данные браузеров, учетные записи и информацию из криптокошельков. Поскольку злоумышленники начали систематически злоупотреблять механизмами подписи и нотаризации Apple, риски фишинга и утечки приватных ключей для владельцев криптоактивов в macOS продолжают расти.