Исследователи Jamf Threat Labs обнаружили, что злоумышленники начали использовать официально подписанные приложения для скрытной доставки вредоносного ПО, отказываясь от сложных схем социальной инженерии.
Новая итерация инфостилера MacSync Stealer использует подписанное Swift-приложение, чтобы обойти защитные механизмы macOS Gatekeeper. Обычно он эффективно блокирует запуск неавторизованного кода, оберегая данные пользователей, однако, как выяснили эксперты, хакеры нашли способ значительно упростить доставку вредоноса, используя саму систему проверки Apple против неё же.
Эволюция угрозы
Во вторник, 23 декабря, специалисты Jamf Threat Labs сообщили о новой тактике распространения MacSync Stealer. Предыдущие версии этого зловреда полагались на так называемую технику «ClickFix» или требовали от жертвы ручных манипуляций — например, перетаскивания файлов в окно Терминала или ввода специальных скриптов для отключения защиты.
Новый метод кардинально отличается простотой для жертвы и сложностью для систем безопасности. MacSync Stealer теперь скрывается внутри Swift-приложения, которое имеет действительную цифровую подпись разработчика и прошло процесс нотаризации в Apple.
Пользователю предлагают скачать инсталлятор приложения под названием zkCall (встречается также как zk-call-messenger-installer). В отличие от прошлых атак, где требовалось нажимать правую кнопку мыши и выбирать «Открыть» для обхода предупреждений, здесь достаточно обычного двойного клика, так как система воспринимает файл как легитимный.
Чистый снаружи, вредоносный внутри
Анализ бинарного файла инсталлятора подтвердил наличие валидной подписи, привязанной к реальному идентификатору команды разработчиков (Developer Team ID). Хотя сам вредоносный скрипт занимает минимум места, размер установочного файла был искусственно увеличен до 25,5 МБ за счёт добавления посторонних файлов, включая PDF-документы. Это сделано для придания веса и убедительности «легальному» инсталлятору.
Ключевая особенность атаки заключается в том, что сам по себе нотаризированный инсталлятор не содержит вредоносного кода. Он работает как классический «дроппер»: после запуска программа связывается с удалённым сервером и скачивает основной вредоносный пэйлоад (полезную нагрузку) на компьютер жертвы.
Именно отсутствие зловредного кода в первичном файле позволило злоумышленникам успешно пройти автоматические проверки Apple. Gatekeeper пропускает приложение, так как оно подписано и не вызывает подозрений на этапе статического анализа.
Реакция Apple и советы пользователям
Jamf Threat Labs отмечает, что использование Swift-приложений со вторичной загрузкой пэйлоада – это тревожный сигнал адаптации хакеров к мерам безопасности macOS. Хотя подобные случаи, когда Apple по ошибке нотаризировала вредоносный софт, встречались и ранее, текущая схема с «чистым» загрузчиком значительно усложняет выявление угроз на этапе проверки.
После отчёта исследователей Apple отозвала сертификат разработчика, использовавшийся для подписи вируса. Однако в Jamf предупредили, что на момент публикации хеши вредоносных файлов ещё не были добавлены в списки отзыва, что оставляло пользователям риск заражения.
Эксперты рекомендуют владельцам Mac соблюдать «цифровую гигиену»: не доверять слепо даже тем приложениям, которые запускаются без предупреждений системы безопасности, и загружать софт исключительно из Mac App Store или с официальных сайтов известных разработчиков.