Специалисты Jamf Threat Labs выявили новую модификацию MacSync Stealer, где хакеры используют легитимные сертификаты Apple для обхода проверок безопасности. Это позволяет программе запускаться на компьютерах пользователей без системных предупреждений Gatekeeper.
Как это работает
Злоумышленники распространяют вирус под видом инсталлятора мессенджера ZK Call. В отличие от прошлых версий, требующих ручного ввода команд в терминал, текущий вариант поставляется как образ диска.
Приложение имеет официальную нотариальную подпись Apple, и эта тактика делает вирус доверенным софтом в глазах операционной системы.
Для маскировки хакеры наполнили архив фиктивными PDF-документами, имитирующими пакет LibreOffice. Перед исполнением полезной нагрузки программа проверяет тип файла и принудительно снимает системную метку карантина. Вирус выводит стандартные окна для сбора конфиденциальной информации под видом системных запросов, а после запуска передает злоумышленникам похищенные пароли и ключи.
Известно, что Apple аннулировала сертификат разработчика сразу после получения отчета от Jamf.
Читайте также:
- Хакеры распространили вирус Stealka через игровые моды и читы
- Хакеры из КНДР похитили $300 млн через фейковые звонки в Zoom
- Как защитить свой портфель от взлома? Пошаговая инструкция по безопасности криптокошелька
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.