MacSync Stealer 變種繞過 Apple 的惡意軟件防護
我們最近看到 ChatGPT 用來誘騙 Mac 用戶安裝 MacStealer,現在又發現了另一種策略來說服用戶安裝 MacSync Stealer 版本。
由於蘋果公司針對惡意軟件安裝的保護措施,Mac 仍然是攻擊者相對難以攻擊的目標。然而,Mac 惡意軟件正在增加,安全研究人員最近發現的兩種策略凸顯了一些攻擊者正在使用的創造性方法……
與 Windows 計算機惡意軟件相比,Mac 惡意軟件相對較少的主要原因有兩個。首先,當然是 Mac 電腦的市場份額相對較低。其次,蘋果提供了內置的保護措施來檢測和阻止欺詐性應用程序。
隨著 Mac 市場份額的增長,該平台作為目標的吸引力也隨之增加,特別是蘋果的人口結構使 Mac 用戶成為金融詐騙者的誘人目標。
當您嘗試安裝新的 Mac 應用程序時,macOS 會檢查它是否經過 Apple 公證,並由信譽良好的開發人員簽名。否則,這一事實將被注意到,並且 macOS 現在使得繞過保護並安裝它成為一個相對混亂的過程。
本月早些時候,我們了解到攻擊者正在使用 ChatGPT 和其他人工智能聊天機器人來誘騙 Mac 用戶將命令行粘貼到終端中,然後安裝 Macware。網絡安全公司 Jamf 發現了一個不同方法的例子。
MacSync 竊取程序安裝程序
賈姆夫 說 該惡意軟件是“日益活躍”的 MacSync Stealer 惡意軟件的變種。
攻擊者使用經過簽名和公證且本身不包含惡意軟件的 Swift 應用程序。然而,應用程序隨後會從遠程服務器接收編碼腳本,然後執行該腳本來安裝惡意軟件。
在審查了通用構建的 Mach-O 二進製文件後,我們確認它是經過代碼簽名和公證的。該簽名與開發組 ID GNJLS3UYZ4 相關聯。
我們還根據 Apple 的撤銷列表檢查了代碼目錄哈希,在分析時,它們都沒有被撤銷 (…)
與 MacSync Stealer 相關的大部分有效負載往往主要在內存中完成,在磁盤上幾乎不留下任何痕跡。
該公司表示,攻擊者越來越多地使用這種方法。
這種分佈的轉變反映了 macOS 惡意軟件世界的更廣泛趨勢,攻擊者越來越多地嘗試將其惡意軟件嵌入到經過簽名和公證的可執行文件中,使它們看起來更像合法應用程序。通過使用這些方法,攻擊者可以減少在早期階段被檢測到的機會。
Jamf 表示,他向蘋果報告了開發者 ID,該公司現已吊銷該證書。
意見 9to5Mac
與往常一樣,針對 Mac 惡意軟件的最佳防禦方法是僅安裝來自 Mac App Store 和您信任的開發者網站的應用程序。
專用配件


FTC:我們使用自動會員鏈接來產生收入。 更多的。