Хакеры научились обманывать Gatekeeper с помощью легальной подписи Apple
Исследователи из компании Jamf Threat Labs обнаружили новый вариант вредоносной программы MacSync Stealer, которая использует официально подписанное и нотаризованное приложение на языке Swift для обхода системы защиты Gatekeeper в системе macOS. Если раньше злоумышленникам приходилось убеждать пользователей выполнять сложные манипуляции вроде перетаскивания файлов в окно «Терминала» или вставки команд, то теперь достаточно просто дважды кликнуть по установщику. Прогресс, как говорится, не стоит на месте — жаль только, что в данном случае он работает на темную сторону.
Вредонос маскируется под инсталлятор приложения «zk-Call & Messenger» и при проверке демонстрирует все признаки легитимности: цифровую подпись, нотаризацию Apple и привязку к идентификатору команды разработчика. Файл искусственно раздут до 25,5 мегабайт за счет добавления PDF-документов и других данных, чтобы выглядеть убедительнее. Хитрость заключается в том, что сам установщик не содержит вредоносного кода — он загружает его с удаленного сервера уже после прохождения проверок Gatekeeper. Такой подход значительно усложняет обнаружение угрозы на этапе нотаризации.
Хотя компания Jamf сообщила о проблеме в Apple, и связанный сертификат был отозван, хеши директорий кода на момент публикации отчета еще не попали в список отзыва. Это не первый случай, когда вредоносное программное обеспечение проскальзывает через систему нотаризации — похожий инцидент произошел еще в 2020 году. Пользователям macOS стоит по-прежнему внимательно следить за тем, что они устанавливают, и отдавать предпочтение приложениям из магазина Mac App Store или с сайтов проверенных разработчиков. Увы, даже официальная подпись Apple больше не гарантия абсолютной безопасности.
