Aggiornamento del trojan su macOS: si diffonde camuffato da applicazione firmata, gli utenti crypto affrontano rischi ancora più nascosti

BlockBeats Notizie, 23 dicembre, il Chief Information Security Officer di SlowMist, 23pds, ha condiviso che il malware MacSync Stealer, attivo sulla piattaforma macOS, ha subito una notevole evoluzione e ci sono già stati utenti che hanno subito il furto di asset. Nell'articolo condiviso si menziona che, rispetto alle prime versioni che si basavano su metodi di inganno a bassa soglia come "trascinare nel terminale" o "ClickFix", ora il malware è stato aggiornato a un'applicazione Swift firmata con codice e notarizzata da Apple, aumentando significativamente la sua furtività.

I ricercatori hanno scoperto che questo campione si diffonde sotto forma di immagine disco chiamata zk-call-messenger-installer-3.9.2-lts.dmg, inducendo gli utenti a scaricarlo camuffandosi da applicazione di messaggistica istantanea o strumento. Diversamente dal passato, la nuova versione non richiede alcuna operazione da parte dell'utente nel terminale, ma utilizza un programma ausiliario Swift integrato che scarica ed esegue uno script codificato da un server remoto, completando così il processo di furto delle informazioni.

Questo programma maligno è già stato firmato con codice e notarizzato da Apple, con un ID team di sviluppatori GNJLS3UYZ4, e al momento dell'analisi l'hash corrispondente non era ancora stato revocato da Apple. Ciò significa che, sotto i meccanismi di sicurezza predefiniti di macOS, gode di una maggiore "affidabilità" ed è più facile che superi la vigilanza degli utenti. La ricerca ha inoltre rilevato che la dimensione del DMG è insolitamente grande e contiene file esca come PDF relativi a LibreOffice, per ridurre ulteriormente i sospetti.

I ricercatori di sicurezza sottolineano che trojan di questo tipo, progettati per il furto di informazioni, prendono spesso di mira dati del browser, credenziali di account e informazioni dei wallet crypto. Con l'inizio dell'abuso sistematico dei meccanismi di firma e notarizzazione di Apple da parte dei malware, il rischio di phishing e di fuga di chiavi private per gli utenti di asset crypto su macOS è in aumento.