Aggiornamento Trojan su macOS: diffusione tramite app firmata con crittografia dei dati utente aumenta il rischio di furtività

BlockBeats News, 23 dicembre, il Chief Security Officer di SlowMist, 23pds, ha condiviso un post affermando che il malware MacSync Stealer attivo sulla piattaforma macOS ha mostrato una significativa evoluzione, con asset degli utenti già rubati. L'articolo condiviso da lui ha menzionato che, dalle tecniche iniziali che si basavano su "drag-and-drop nel terminale" e "ClickFix" per attirare facilmente le vittime, il malware si è evoluto fino a includere la firma del codice e l'utilizzo di applicazioni Swift notarizzate da Apple, migliorando notevolmente la sua capacità di eludere i controlli.

I ricercatori hanno scoperto che questo campione viene diffuso sotto forma di un'immagine disco chiamata zk-call-messenger-installer-3.9.2-lts.dmg, camuffata da applicazione di messaggistica istantanea o utility per indurre gli utenti a scaricarla. Diversamente dal passato, la nuova versione non richiede più alcuna operazione da terminale da parte dell'utente, ma viene invece scaricata ed eseguita da un helper Swift integrato da un server remoto per avviare il processo di furto delle informazioni.

Questo malware è stato firmato con successo e notarizzato da Apple, con l'ID del team di sviluppo GNJLS3UYZ4, e gli hash correlati non sono stati revocati da Apple al momento dell'analisi. Ciò significa che gode di una maggiore "affidabilità" secondo il meccanismo di sicurezza predefinito di macOS, rendendo più facile eludere la vigilanza degli utenti. La ricerca ha inoltre scoperto che la dimensione del file DMG è insolitamente grande, contenendo file esca come PDF relativi a LibreOffice per ridurre ulteriormente i sospetti.

I ricercatori di sicurezza hanno sottolineato che trojan di questo tipo, specializzati nel furto di informazioni, spesso prendono di mira dati del browser, credenziali di account e informazioni dei wallet di criptovalute. Poiché i malware abusano sempre più dei meccanismi di firma e notarizzazione di Apple, gli utenti di criptovalute nell'ambiente macOS stanno affrontando rischi crescenti di phishing e di esposizione delle chiavi private.