macOS-Trojaner-Update: Verbreitung über signierte App mit Verschlüsselung von Benutzerdaten erhöht das Risiko unbemerkter Angriffe

BlockBeats News, 23. Dezember, SlowMist Chief Security Officer 23pds teilte einen Beitrag, in dem er erklärte, dass die auf der macOS-Plattform aktive MacSync Stealer-Malware eine erhebliche Weiterentwicklung gezeigt hat und bereits Benutzervermögen gestohlen wurden. Der von ihm geteilte Artikel erwähnte, dass die Malware von frühen Techniken wie „Drag-and-Drop ins Terminal“ und „ClickFix“ zur einfachen Täuschung nun auf Code-Signierung und die Nutzung von von Apple notariell beglaubigten Swift-Anwendungen umgestiegen ist, was ihre Tarnung erheblich verbessert.

Forscher fanden heraus, dass dieses Sample in Form eines Disk-Images mit dem Namen zk-call-messenger-installer-3.9.2-lts.dmg verbreitet wird, das als Instant-Messaging- oder Dienstprogramm-Anwendung getarnt ist, um Benutzer zum Herunterladen zu verleiten. Anders als früher erfordert die neue Version keine Terminal-Operationen mehr vom Benutzer, sondern wird stattdessen von einem integrierten Swift-Helfer von einem Remote-Server abgerufen und ausgeführt, um den Informationsdiebstahl durchzuführen.

Diese Malware wurde erfolgreich von Apple signiert und notariell beglaubigt, wobei die Entwickler-Team-ID GNJLS3UYZ4 lautet, und die zugehörigen Hashes wurden zum Zeitpunkt der Analyse von Apple nicht widerrufen. Das bedeutet, dass sie unter dem Standard-Sicherheitsmechanismus von macOS eine höhere „Vertrauenswürdigkeit“ genießt, was es einfacher macht, die Wachsamkeit der Benutzer zu umgehen. Die Forschung entdeckte außerdem, dass die DMG-Datei ungewöhnlich groß ist und Köderdateien wie PDFs im Zusammenhang mit LibreOffice enthält, um den Verdacht weiter zu verringern.

Sicherheitsforscher wiesen darauf hin, dass solche informationsstehlenden Trojaner häufig auf Browserdaten, Kontozugangsdaten und Informationen von Kryptowährungs-Wallets abzielen. Da Malware zunehmend Apples Signierungs- und Notarisierungsmechanismen missbraucht, sind Kryptowährungsnutzer in der macOS-Umgebung einem steigenden Risiko von Phishing und der Offenlegung privater Schlüssel ausgesetzt.