Atualização do Trojan para macOS: disseminação por meio de aplicativo assinado com criptografia de dados do usuário aumenta o risco de furtividade

BlockBeats News, 23 de dezembro, o Diretor de Segurança da SlowMist, 23pds, compartilhou uma postagem afirmando que o malware MacSync Stealer ativo na plataforma macOS mostrou uma evolução significativa, com ativos de usuários já tendo sido roubados. O artigo compartilhado por ele mencionou que, desde as técnicas iniciais que dependiam de "arrastar e soltar no terminal" e "ClickFix" para atrair facilmente, ele foi aprimorado para assinatura de código e utilização de aplicativos Swift notarizados pela Apple, aumentando significativamente sua furtividade.

Pesquisadores descobriram que este exemplo está sendo disseminado na forma de uma imagem de disco chamada zk-call-messenger-installer-3.9.2-lts.dmg, disfarçada como um aplicativo de mensagens instantâneas ou utilitário para atrair usuários a baixá-lo. Diferente do passado, a nova versão não exige mais nenhuma operação no terminal por parte do usuário, mas sim é baixada e executada por um assistente Swift embutido a partir de um servidor remoto para realizar o processo de roubo de informações.

Este malware foi assinado com sucesso e notarizado pela Apple, com o ID da equipe de desenvolvedores sendo GNJLS3UYZ4, e os hashes relacionados não foram revogados pela Apple no momento da análise. Isso significa que ele possui maior "confiabilidade" sob o mecanismo de segurança padrão do macOS, tornando mais fácil burlar a vigilância do usuário. A pesquisa também descobriu que o tamanho do arquivo DMG é incomumente grande, contendo arquivos isca como PDFs relacionados ao LibreOffice para diminuir ainda mais a suspeita.

Pesquisadores de segurança apontaram que trojans de roubo de informações como este frequentemente visam dados de navegadores, credenciais de contas e informações de carteiras de criptomoedas. À medida que malwares abusam cada vez mais dos mecanismos de assinatura e notarização da Apple, usuários de criptomoedas no ambiente macOS enfrentam riscos crescentes de phishing e exposição de chaves privadas.