Το Gatekeeper έχει σχεδιαστεί για να αποτρέπει την εκτέλεση κακόβουλου λογισμικού, αποκλείοντας εφαρμογές που δεν έχουν υπογραφεί ή επικυρωθεί από την Apple. Προηγουμένως, οι επιθέσεις συχνά απαιτούσαν ύποπτες ενέργειες από τον χρήστη, αλλά τώρα η διαδικασία είναι πολύ πιο διακριτική.

Μια αίτηση που υπογράφηκε και επικυρώθηκε... αλλά ήταν παγιδευμένη.

Οι ερευνητές κυβερνοασφάλειας στην Jamf Threat Labs εξηγούν ότι αυτή η έκδοση του MacSync Stealer εμφανίζεται ως μια υπογεγραμμένη και επικυρωμένη εφαρμογή Swift , που σχετίζεται με ένα έγκυρο αναγνωριστικό προγραμματιστή. Στη συνέχεια, ο χρήστης εξαπατάται ώστε να εγκαταστήσει μια ψεύτικη εφαρμογή ανταλλαγής μηνυμάτων που ονομάζεται "zk-Call & Messenger", γνωρίζοντας ότι ένα απλό διπλό κλικ είναι αρκετό, χωρίς ειδοποιήσεις ασφαλείας.

«Το εκτελέσιμο αρχείο είναι σωστά υπογεγραμμένο και αναγνωρίζεται ως νόμιμο από το macOS», εξηγούν οι ερευνητές. Το σκόπιμα μεγάλο αρχείο περιέχει εικονικά στοιχεία για να ενισχύσει την φαινομενική του αξιοπιστία.

Καθυστερημένη φόρτωση του κακόβουλου κώδικα

Αξίζει να σημειωθεί ότι η συμβολαιογραφική εφαρμογή δεν περιέχει άμεσα το κακόβουλο λογισμικό. Μόλις εκκινηθεί, κατεβάζει ένα δευτερεύον ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή, ο οποίος στη συνέχεια εγκαθιστά το spyware. Αυτή η διαδικασία δύο βημάτων περιπλέκει σημαντικά την ανίχνευση κατά τη διάρκεια της διαδικασίας επικύρωσης της Apple.

Η Apple αντιδρά, αλλά η απειλή παραμένει

Η Jamf αναφέρει ότι ενημέρωσε την Apple για το εν λόγω αναγνωριστικό προγραμματιστή, γεγονός που οδήγησε στην ανάκληση του πιστοποιητικού. Ωστόσο, «ορισμένα τεχνικά στοιχεία δεν είχαν ακόμη αποκλειστεί κατά τη στιγμή της δημοσίευσης », σημειώνουν οι ερευνητές.

Για τους χρήστες Mac, η σύσταση ασφαλείας παραμένει αμετάβλητη: να παραμένετε σε εγρήγορση, να εγκαθιστάτε λογισμικό μόνο από αξιόπιστες πηγές και να είστε επιφυλακτικοί με άγνωστες εφαρμογές... ακόμα και όταν φαίνεται να έχουν επικυρωθεί από το σύστημα.