Добавить в корзинуПозвонить
Найти в Дзене
Fixed.one: новости из сервисного центра и мира Apple
140 подписчиков

На прошлой неделе исследователи из компании Jamf Threat Labs рассказали о новом варианте вредоносного ПО из семейства MacSync Stealer

1
1 мин
, который был не только подписан действующим сертификатом разработчика, но и нотаризован самой Apple. Иными словами, встроенная система безопасности macOS Gatekeeper не имела никаких оснований блокировать запуск этого приложения. Проблема усугубляется тем, что злоумышленники получают настоящие сертификаты разработчиков через теневые каналы или используют скомпрометированные учетные записи, после чего их малварь в момент установки становится практически неотличимой от легитимного софта. Хитрость атаки заключается в многоступенчатой архитектуре. Первоначальный бинарный файл представляет собой относительно простое приложение на языке Swift, которое выглядит безобидно при статическом анализе Apple и почти ничего не делает самостоятельно. Настоящая вредоносная активность начинается позже, когда программа обращается к удаленным серверам за дополнительными компонентами. Поскольку эти компоненты отсутствуют в момент нотаризации и активируются только в реальных условиях работы, сканерам Apple

На прошлой неделе исследователи из компании Jamf Threat Labs рассказали о новом варианте вредоносного ПО из семейства MacSync Stealer, который был не только подписан действующим сертификатом разработчика, но и нотаризован самой Apple. Иными словами, встроенная система безопасности macOS Gatekeeper не имела никаких оснований блокировать запуск этого приложения. Проблема усугубляется тем, что злоумышленники получают настоящие сертификаты разработчиков через теневые каналы или используют скомпрометированные учетные записи, после чего их малварь в момент установки становится практически неотличимой от легитимного софта.

Хитрость атаки заключается в многоступенчатой архитектуре. Первоначальный бинарный файл представляет собой относительно простое приложение на языке Swift, которое выглядит безобидно при статическом анализе Apple и почти ничего не делает самостоятельно. Настоящая вредоносная активность начинается позже, когда программа обращается к удаленным серверам за дополнительными компонентами. Поскольку эти компоненты отсутствуют в момент нотаризации и активируются только в реальных условиях работы, сканерам Apple просто нечего анализировать. Процесс нотаризации оценивает то, что существует на момент отправки, а не то, что приложение может загрузить после запуска — и атакующие явно проектируют свои схемы с учетом этого ограничения.

Первый случай нотаризованной Apple малвари датируется как минимум 2020 годом, а в июле текущего года появился еще один подобный инцидент. Достигла ли проблема критической точки? Вероятно, нет. С одной стороны, даже один такой случай — это уже слишком много. С другой стороны, винить во всем Apple было бы слишком просто. Система во многом работает так, как и задумывалась: подпись кода и нотаризация никогда не гарантировали, что софт останется безопасным навсегда — они лишь позволяют отследить приложение до реального разработчика и отозвать сертификат при обнаружении злоупотреблений. В конечном счете, лучшая защита от малвари — проявлять бдительность и соблюдать правила цифровой гигиены. К чему и призываем!

@fixed

Кибербезопасность
25,6 тыс интересуются