Hệ sinh thái của Máy tính Mac Nó đã gặp phải một mối đe dọa đến từ một đẳng cấp hoàn toàn khác: Kẻ trộm MacSync, một loại phần mềm độc hại chuyên đánh cắp thông tin và xâm nhập vào máy tính. tận dụng các hệ thống đáng tin cậy của chính Apple.Khác hẳn với những loại virus kém chất lượng trong quá khứ, phần mềm độc hại này tự xưng là một ứng dụng hợp pháp và đáng tin cậy, có chữ ký của nhà phát triển hợp lệ và quy trình xác minh được chứng thực, cả ở Tây Ban Nha và phần còn lại của châu Âu, như các phân tích đã chỉ ra. các cuộc tấn công mạng vào máy Mac và Linux.
Trong các biến thể mới nhất, nhóm mã độc này Nó hoạt động như một ứng dụng được viết bằng Swift, được Apple ký và chứng thực.Điều này cho phép nó vượt qua nhiều biện pháp bảo mật ban đầu của macOS, bao gồm các cơ chế như Gatekeeper và XProtect. Bước tiến đáng kể này khiến việc phát hiện sớm trở nên khó khăn hơn và mở ra cánh cửa cho... rò rỉ dữ liệu cá nhân và doanh nghiệp một cách âm thầm. cả trong môi trường gia đình và chuyên nghiệp.
MacSync Stealer là gì và nó đã phát triển như thế nào trong macOS?
Trong những lần xuất hiện đầu tiên của mình, Việc lây nhiễm dựa vào các kỹ thuật đòi hỏi người dùng phải thực hiện các thao tác cụ thể.Các phương pháp tương tự như ClickFix hoặc các lệnh "sao chép và dán" kinh điển trong Terminal để chạy các tập lệnh độc hại đã được sử dụng. Cách tiếp cận này đòi hỏi mức độ tương tác thủ công cao hơn, tạo cho người dùng nhiều cơ hội hơn để nghi ngờ điều gì đó bất thường và dừng quá trình cài đặt trước khi thiệt hại trở nên nghiêm trọng hơn.
Các phân tích của Phòng thí nghiệm mối đe dọa JamfPhòng thí nghiệm bảo mật thiết bị Apple hàng đầu mô tả một tình huống khá khác biệt trong biến thể mới nhất. Theo báo cáo của họ, MacSync Stealer đã cung cấp... một bước tiến hướng tới mô hình lây nhiễm tự động và âm thầm hơn nhiềuGiảm thiểu tối đa các dấu hiệu có thể nhìn thấy đối với nạn nhân và dựa vào sự tin tưởng được tạo ra bởi chữ ký và chứng thực của Apple.
Mánh khóe nằm ở chỗ giai đoạn đầu của cuộc tấn công được trình bày như một... Ứng dụng được phát triển bằng Swift, với ID nhà phát triển hợp lệ, chữ ký mã hợp lệ và đã được chứng thực.Đối với hệ điều hành và hầu hết người dùng, sự kết hợp này đồng nghĩa với phần mềm đáng tin cậy, trong khi trên thực tế, nó là mắt xích đầu tiên trong một chuỗi lây nhiễm được thiết kế cẩn thận.
Trong nhiều trường hợp, mối đe dọa xuất hiện dưới nhiều hình thức khác nhau. dịch vụ nhắn tin, công cụ năng suất hoặc tiện ích đồng bộ hóaVới tên gọi, biểu tượng và mô tả nghe có vẻ hoàn toàn vô hại, vẻ ngoài này càng làm giảm bớt những nghi ngờ ban đầu — một chi tiết đặc biệt đáng lo ngại tại các văn phòng, cơ quan hành chính công và công ty ở châu Âu, nơi máy Mac đã trở thành công cụ làm việc hàng ngày.
Một trình cài đặt Swift bỏ qua Gatekeeper và hoạt động như một công cụ thả gói.
Chiến dịch được Jamf mô tả cho thấy thành phần đầu tiên của mối đe dọa hoạt động như một... Thư viện dropper được viết bằng Swift.Một trình cài đặt thoạt nhìn có vẻ hợp pháp nhưng mục đích thực sự là chuẩn bị nền tảng và tải xuống mã độc hại từ máy chủ từ xa. Ban đầu, tệp nhị phân Mach-O có trong ứng dụng này... Có vẻ như văn bản này đã được ký và công chứng, liên kết với ID nhóm phát triển thực sự.Do đó, nó dễ dàng vượt qua các bước kiểm tra ban đầu của Gatekeeper.
Trong một trong những trường hợp được phân tích, ống nhỏ giọt được phân phối dưới dạng... Ảnh đĩa DMG với tên ứng dụng nhắn tinDưới các tên như “zk-call-messenger-installer-3.9.2-lts.dmg” và được lưu trữ trên một tên miền được chuẩn bị cho chiến dịch. Trình cài đặt tự xưng là một công cụ gọi điện và nhắn tin, nhằm mục đích... Chỉ cần nhấp đúp chuột để chạy nó.mà không cần các bước phức tạp như các phương pháp điều trị nhiễm trùng cũ.
Ngay cả khi gói phần mềm đã được ký điện tử, trong một số trường hợp, kẻ tấn công vẫn thêm vào đó. Hướng dẫn buộc người dùng phải nhấp chuột phải và chọn "Mở"Đây là một thủ thuật kinh điển để vượt qua các cảnh báo bổ sung của macOS khi ứng dụng không được tải xuống từ Mac App Store. Chi tiết nhỏ này, mà nhiều người thường bỏ qua, nên là dấu hiệu đáng ngờ, đặc biệt nếu phần mềm đến từ một trang web không rõ nguồn gốc.
Khi người dùng khởi động ứng dụng, trình thả nhãn sẽ thực hiện một loạt các thao tác. kiểm tra môi trường trước khi chuyển sang giai đoạn thứ hai.Trong số các bước khác, nó xác minh rằng máy tính có kết nối internet ổn định, kiểm tra một số điều kiện hệ thống và, trong một số trường hợp, chờ một khoảng thời gian thực thi tối thiểu gần với 3600 giây để hành vi của họ không tỏ ra quá vội vàng hoặc đáng ngờ.
Khi các điều kiện do kẻ tấn công đặt ra được đáp ứng, chương trình sẽ kết nối với một máy chủ. máy chủ điều khiển và quản lý từ xa Tải xuống một tập lệnh hoặc tải trọng được mã hóa, thường ở định dạng Base64, chứa lõi MacSync Stealer. Ở giai đoạn này, mã chịu trách nhiệm cho việc này được thực thi. đánh cắp thông tin và duy trì quyền kiểm soát máy Mac bị xâm nhập.Trong khi đó, trình cài đặt ban đầu chỉ có chức năng như một mã độc Trojan.
Các tập tin DMG bị thổi phồng, các tập tin giả mạo và các thay đổi trong quá trình tải xuống nhằm mục đích tránh bị phát hiện.
Một trong những khía cạnh thu hút sự chú ý nhất của các nhà nghiên cứu là việc sử dụng Ảnh đĩa dung lượng lớn chứa đầy các tệp mồi nhử.Tệp DMG đi kèm với trình cài đặt này có dung lượng khoảng... 25,5 MBĐây là một lượng truy cập cao bất thường đối với một ứng dụng nhắn tin đơn giản hoặc tiện ích nhẹ như thế này.
Theo Jamf Threat Labs, trọng lượng này đạt được Làm phình to gói hàng bằng các tài liệu không liên quan, chẳng hạn như PDF hoặc các tệp nhúng khác. Những nội dung đó không đóng góp gì vào chức năng của ứng dụng. Đó là sự pha trộn giữa nội dung thừa thãi và thành phần thực tế. Điều này làm phức tạp quá trình phân tích tự động được thực hiện bởi các giải pháp chống virus và bảo mật.những người phải xử lý một lượng dữ liệu lớn và phân biệt đâu là dữ liệu hợp lệ và đâu là dữ liệu bất hợp lệ.
Sau khi gắn ảnh đĩa và chạy ứng dụng, trình cài đặt sẽ khởi động... quét môi trường địa phương Kiểm tra mọi thứ, từ khả năng kết nối đến các thông số hệ thống nhất định. Chỉ khi nào rõ ràng là kịch bản phù hợp, hệ thống mới liên hệ với cơ sở hạ tầng từ xa để tải xuống mô-đun thứ hai. Trong nhiều trường hợp, tải trọng là Chúng chủ yếu hoạt động trong bộ nhớ, chỉ chiếm dụng tối thiểu dung lượng ổ đĩa. và làm phức tạp thêm quá trình điều tra pháp y sau đó.
Mã được tải xuống trong giai đoạn thứ hai này tương ứng với MacSync, một sự phát triển từ dòng phần mềm tiền nhiệm có tên Mac.c.Các cuộc điều tra độc lập chỉ ra rằng phần mềm độc hại này được phát triển bằng ngôn ngữ Go và có nhiều khả năng vượt xa việc chỉ đơn thuần đánh cắp mật khẩu, theo xu hướng của các mối đe dọa hiện đại khác nhắm vào macOS.
Trên hết, những kẻ tấn công thậm chí còn tinh chỉnh cả hệ thống của chúng. các lệnh tải xuống được sử dụng trong quá trìnhViệc sử dụng các công cụ như curl Việc này được thực hiện với các tổ hợp tham số ít phổ biến hơn — ví dụ, bằng cách tách chuỗi thông thường. -fsSL trên các lá cờ như -fL y -sSvà kết hợp các tùy chọn như --noproxy— với mục đích né tránh các quy tắc phát hiện dựa trên các mẫu lặp lại và cải thiện độ tin cậy của kết nối đến máy chủ của họ.
Từ kẻ đánh cắp dữ liệu đến nền tảng điều khiển từ xa
Cốt lõi của MacSync Stealer vượt xa phạm vi của một phần mềm đánh cắp thông tin thông thường: các phân tích kỹ thuật mô tả... đặc vụ với đầy đủ khả năng chỉ huy và kiểm soát (C2)., sẵn sàng duy trì liên lạc thường xuyên với nhóm bị ảnh hưởng và nhận chỉ thị theo thời gian thực.
Trong số các chức năng được gán cho nhóm chức năng này, những chức năng sau đây nổi bật: đánh cắp thông tin đăng nhập, cookie trình duyệt, dữ liệu thẻ ngân hàng và ví tiền điện tửcũng như việc đánh cắp tất cả các loại tập tin mà kẻ tấn công quan tâm. Truy cập vào thông tin được lưu trữ trong Chuỗi khóa macOS Dữ liệu từ các trình duyệt như Safari, Chrome hay Firefox vốn đã là mục tiêu rất hấp dẫn đối với các chiến dịch gian lận tài chính và hoạt động gián điệp doanh nghiệp.
Một điểm nhạy cảm khác là khả năng Cài đặt thêm các mô-đun theo yêu cầuCách tiếp cận theo mô-đun này cho phép nhóm bị xâm nhập trở thành một loại "dao đa năng" nguy hiểm: hôm nay trọng tâm có thể là thu thập mật khẩu và ngày mai là ghi lại các thao tác gõ phím, mã hóa tệp, di chuyển ngang qua mạng doanh nghiệp hoặc triển khai các công cụ truy cập từ xa mới.
Đối với người dùng và doanh nghiệp tại Tây Ban Nha và phần còn lại của châu Âu, sự chuyển đổi này từ một kẻ đánh cắp dữ liệu đơn thuần sang một... nền tảng điều khiển từ xa linh hoạt Điều này thể hiện một bước tiến đáng kể về mức độ rủi ro. Một máy Mac bị nhiễm virus không còn chỉ là nguồn đánh cắp thông tin đơn lẻ mà trở thành... cổng truy cập vào mạng doanh nghiệp, dịch vụ đám mây hoặc các hệ thống quan trọng. mà thiết bị có quyền truy cập.
Tình huống này phù hợp với xu hướng rộng hơn được quan sát bởi nhiều công ty an ninh mạng khác nhau: Sự gia tăng liên tục các phần mềm đánh cắp thông tin và Trojan dạng mô-đun nhắm mục tiêu vào macOS.Điều này xuất phát từ thị phần ngày càng tăng của các thiết bị Apple và đặc điểm kinh tế của người dùng hãng, khiến họ trở thành mục tiêu đặc biệt hấp dẫn đối với các vụ lừa đảo trực tuyến.
Phản hồi của Apple và những hạn chế của tính năng bảo vệ tự động trong macOS
Sau những cảnh báo từ Jamf Threat Labs và các công ty bảo mật khác, Apple đã thu hồi các chứng chỉ ký mã liên quan đến ID nhóm được sử dụng trong chiến dịch MacSync Stealer.Với biện pháp này, hệ điều hành sẽ ngừng tin tưởng các ứng dụng được ký bằng mã định danh đó và chặn các bản dựng mới cố gắng sử dụng nó để phát tán phần mềm độc hại.
Song song đó, công ty cũng đã cập nhật... các cơ chế bảo vệ nội bộ, chẳng hạn như XProtect và Gatekeeper.với các quy tắc phát hiện mới và danh sách các hàm băm và chữ ký đã biết. Trong các phiên bản macOS hiện tại, các danh sách đen này được cập nhật thường xuyên mà không cần sự can thiệp của người dùng, vì vậy điều này rất quan trọng. Giữ cho hệ thống luôn được cập nhật. và áp dụng các bản cập nhật có sẵn để tận dụng những bản vá lỗi và cải tiến đó.
Tuy nhiên, các chuyên gia vẫn khẳng định rằng vụ việc MacSync Stealer minh họa cho... xu hướng chung của phần mềm độc hại dành cho macOS: Các kẻ tấn công ngày càng cố gắng Hãy điều chỉnh mã của bạn sao cho phù hợp với các tệp thực thi đã được ký và chứng thực.Để chúng trông giống như những ứng dụng hoàn toàn hợp pháp và đáng tin cậy. Nếu đạt được điều này, khả năng người dùng nhận được cảnh báo rõ ràng sẽ giảm đáng kể.
Các báo cáo từ Jamf và các công ty khác nhấn mạnh rằng, ngay cả khi Apple thu hồi các chứng chỉ bị xâm phạm, Tội phạm mạng có thể đăng ký ID nhà phát triển mới và lặp lại chiến lược tương tự.Bằng cách điều chỉnh những chi tiết nhỏ để lách luật mới được thêm vào. Trò chơi mèo vờn chuột này buộc hệ thống phòng thủ mặc định của macOS phải được bổ sung thêm các lớp bảo vệ.
Bối cảnh này củng cố ý tưởng rằng An toàn không thể chỉ dựa vào các biện pháp bảo vệ tự động.Mặc dù Gatekeeper, XProtect và quy trình chứng thực đã nâng cao đáng kể mức độ bảo mật, nhưng các cuộc tấn công như MacSync Stealer cho thấy rằng các cơ chế tin cậy cũng có thể bị lợi dụng để chống lại người dùng khi ai đó tìm cách đưa ứng dụng của họ vào chuỗi xác minh.
Tác động đến người dùng Mac tại Tây Ban Nha và Châu Âu và các biện pháp bảo vệ tốt nhất
Sự mở rộng của máy Mac trong các văn phòng, trường đại học và nhà ở tại Tây Ban Nha và phần còn lại của châu Âu macOS ngày càng trở thành mục tiêu hấp dẫn đối với các nhóm tội phạm. Nó không còn là một nền tảng chuyên biệt nữa: ngày càng nhiều tổ chức tích hợp macOS vào cơ sở hạ tầng của họ, khiến các mối đe dọa như MacSync Stealer trở thành vấn đề lớn đối với khu vực này.
Các chuyên gia khuyên nên tăng cường cả kỹ năng chuyên môn và thói quen hàng ngày. Bước đầu tiên, tưởng chừng đơn giản nhưng lại vô cùng quan trọng, là... Luôn cập nhật macOS và các ứng dụng. và biểu diễn sao lưu thường xuyênVì Apple thường xuyên đưa ra các chữ ký và quy tắc chặn mới cho các loại mối đe dọa này, việc bỏ qua các bản cập nhật bảo mật sẽ tạo cơ hội cho các biến thể đã được ghi nhận và vá lỗi.
Sự nhấn mạnh cũng được đặt vào tầm quan trọng của Giới hạn việc cài đặt phần mềm chỉ từ Mac App Store hoặc các nhà phát triển nổi tiếng.Ngay cả khi trình cài đặt có vẻ được ký và chứng thực, nhãn đó cũng không còn là sự đảm bảo tuyệt đối về an ninh, như trường hợp này đã chứng minh. Việc tải xuống ứng dụng từ các liên kết nhận được qua email, tin nhắn hoặc các trang web không đáng tin cậy làm tăng đáng kể nguy cơ nhiễm virus.
Một phần quan trọng khác là Hãy chú ý đến các quyền mà mỗi ứng dụng yêu cầu.Quyền truy cập vào chuỗi khóa, tài liệu người dùng, lịch sử trình duyệt hoặc các tính năng trợ năng là những quyền nên được cấp một cách hạn chế, đặc biệt là khi sử dụng các tiện ích miễn phí không rõ nguồn gốc. Nhiều vụ lây nhiễm thành công dựa chính vào điều này. Quyền hạn quá mức mà người dùng tự chấp nhận mà không xem xét lại..
Trong môi trường chuyên nghiệp, đặc biệt là trong Liên minh Châu Âu, nên bổ sung thêm các biện pháp bảo vệ của Apple bằng... các giải pháp bảo mật dành riêng cho macOSCác công cụ EDR và chính sách tải xuống và cài đặt phần mềm rõ ràng là rất cần thiết. Những biện pháp này đặc biệt quan trọng đối với các công ty phải tuân thủ các quy định về bảo vệ dữ liệu, nơi mà một sự cố đánh cắp thông tin đăng nhập hoặc rò rỉ thông tin có thể dẫn đến các hình phạt và mất lòng tin.
Mọi thứ xoay quanh MacSync Stealer đều cho thấy mức độ ảnh hưởng của phần mềm này. Phần mềm độc hại dành cho máy Mac không còn là điều hiếm gặp nữa.Kẻ tấn công dựa vào các tệp thực thi đã được ký và chứng thực, mở rộng ảnh đĩa bằng các tệp mồi nhử, tải xuống các phần mềm độc hại giai đoạn hai từ máy chủ từ xa và triển khai các tác nhân có khả năng đánh cắp dữ liệu và duy trì quyền kiểm soát từ xa đối với máy tính. Trong trường hợp này, quan niệm cũ rằng "máy Mac không bị nhiễm virus" đã hoàn toàn lỗi thời, và việc bảo vệ hiện nay bao gồm việc kết hợp các biện pháp phòng vệ gốc của Apple với thực hành sử dụng tốt và giám sát liên tục để tránh việc máy tính của chúng ta trở thành mắt xích yếu nhất trong chuỗi.