Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

MacSync Stealer: эволюция, подпись кода и скрытная доставка

3 мин
Вредоносное ПО MacSync Stealer заметно изменило свою тактику — от примитивных приёмов социальной инженерии к более изощрённой и технологически зрелой модели доставки полезной нагрузки. По данным исследователей из Jamf Threat Labs, новая версия распространяется в виде подписанного и notarized приложения, что позволяет злоумышленникам эффективнее обходить средства защиты macOS. Последний анализ Jamf Threat Labs выявил коренные изменения в механизме доставки и исполнения: «обновленная версия … поставляется в виде подписанного и нотариально заверенного приложения» — вывод Jamf Threat Labs Эволюция в сторону подписанных и notarized приложений отражает общую тенденцию в развитии вредоносного ПО: злоумышленники используют легитимные механизмы платформы, чтобы снизить вероятность блокировки или анализа. В результате: MacSync Stealer демонстрирует, как злоумышленники адаптируются, переходя от простой социальной инженерии и встраиваемых скриптов к использованию легитимных механизмов платформы —
Оглавление

Вредоносное ПО MacSync Stealer заметно изменило свою тактику — от примитивных приёмов социальной инженерии к более изощрённой и технологически зрелой модели доставки полезной нагрузки. По данным исследователей из Jamf Threat Labs, новая версия распространяется в виде подписанного и notarized приложения, что позволяет злоумышленникам эффективнее обходить средства защиты macOS.

Как это работало раньше

  • Ранние варианты опирались на техники «перетащить в Terminal» и ClickFix, когда пользователь непреднамеренно запускал вредоносные скрипты;
  • Команды часто передавались в виде base64-закодированных строк, которые декодировались и запускались прямо в окружении памяти;
  • Такие методы обычно оставляли минимальные следы на диске — основной упор делался на выполнение в памяти и обман пользователя.

Что изменилось в новой версии

Последний анализ Jamf Threat Labs выявил коренные изменения в механизме доставки и исполнения:

  • Образец поставляется как подписанное и notarized приложение — злоумышленники начали использовать code signing и notarization для повышения доверия систем безопасности;
  • Вместо внешних трюков с вводом команд в Terminal вредонос теперь инкапсулирован в структуру приложения: внутри пакета находятся универсальные Mach-O binaries, которые выполняются в рамках app bundle;
  • Точка входа — функция _main — устанавливает состояние приложения, задаёт пути логирования и проводит проверку подключения к сети;
  • При успешном соединении _main извлекает second-stage payload, а функция RunInstaller() выступает как dropper для этой следующей полезной нагрузки.
«обновленная версия … поставляется в виде подписанного и нотариально заверенного приложения» — вывод Jamf Threat Labs

Технические подробности (ключевые моменты)

  • _main: инициализация приложения, настройка логов, проверка сетевого подключения; при наличии соединения — загрузка второго этапа;
  • RunInstaller(): механизм выполнения и развёртывания second-stage payload; здесь наблюдается сдвиг от простого выполнения скриптов к более структурированному dropper-механику;
  • Использование универсальных Mach-O binaries внутри app bundle даёт злоумышленникам гибкость в целевых архитектурах и снижает зависимость от внешних вспомогательных файлов;
  • Перемещение от «выполнить через Terminal» к подписанным приложениям повышает операционную скрытность и затрудняет обнаружение традиционными средствами.

Почему это опасно

Эволюция в сторону подписанных и notarized приложений отражает общую тенденцию в развитии вредоносного ПО: злоумышленники используют легитимные механизмы платформы, чтобы снизить вероятность блокировки или анализа. В результате:

  • Gatekeeper и другие защитные слои могут доверять подписанным/нотарифицированным бинарям дольше, чем неподписанным скриптам;
  • Структурированный dropper внутри пакета упрощает доставку сложных second-stage payloads без явных внешних индикаторов;
  • Комбинация network check + загрузка payload делает поведение ориентированным на контроль и гибкую активацию вреда.

Рекомендации для защиты

  • Проверять подписи и notarization: не полагаться только на факт подписи как на однозначный признак безопасности — анализировать издателя и контекст;
  • Ограничить возможности запуска сторонних приложений: применять политики установки только доверенных источников и использовать MDM (например, Jamf) для контроля разрешённых пакетов;
  • Мониторить сетевую активность приложений: аномальные исходящие соединения должны подлежать расследованию, особенно сразу после установки/запуска новых приложений;
  • Использовать EDR/AV с проверкой поведения и анализом Mach-O бинарей внутри app bundles;
  • Обучать пользователей: объяснять риски «перетаскивания в Terminal» и вставки команд из непроверенных источников.

Вывод

MacSync Stealer демонстрирует, как злоумышленники адаптируются, переходя от простой социальной инженерии и встраиваемых скриптов к использованию легитимных механизмов платформы — подписей и notarization — для повышения скрытности и эффективности доставки вредоносных payload. Это изменение подчёркивает необходимость комплексного подхода к защите macOS: сочетание политик контроля приложений, мониторинга поведения и повышения осведомлённости пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "MacSync Stealer: эволюция, подпись кода и скрытная доставка".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются