| 22 декабря 2025 г. — 5:00 PT
Недавно мы видели, как ChatGPT использовался для обмана пользователей Mac с целью установки MacStealer, а теперь обнаружена новая тактика, убеждающая пользователей установить версию MacSync Stealer.
Mac остается относительно сложной целью для злоумышленников благодаря защитным механизмам Apple против установки вредоносного ПО. Однако вредоносное ПО для Mac растет, и две недавно обнаруженные тактики, выявленные исследователями безопасности, подчеркивают креативные подходы, которые используют некоторые злоумышленники…
Раньше было две основные причины, по которым вредоносное ПО для Mac было относительно редким по сравнению с вредоносным ПО для Windows. Первая, конечно, — относительно низкая доля рынка Mac. Вторая — встроенные механизмы защиты Apple для обнаружения и блокировки подозрительных приложений.
Поскольку доля рынка Mac растет, растет и привлекательность платформы как цели, особенно учитывая, что демография пользователей Apple делает их привлекательной целью для финансовых мошенничеств.
Когда вы пытаетесь установить новое приложение для Mac, macOS проверяет, было ли оно нотаризировано Apple как подписанное известным разработчиком. Если нет, этот факт будет отмечен, и macOS теперь делает процесс обхода защиты и установки приложения относительно запутанным.
В начале этого месяца мы узнали, что злоумышленники используют ChatGPT и другие чат-боты с ИИ, чтобы обманом заставить пользователей Mac ввести команду в Терминал, которая затем устанавливает Macware. Компания Jamf, специализирующаяся на кибербезопасности, теперь обнаружила пример другого применяемого подхода.
Установщик MacSync Stealer
Jamf сообщает, что вредоносное ПО является вариантом «все более активного» вредоносного ПО MacSync Stealer.
Злоумышленники используют приложение, написанное на Swift, которое подписано и нотаризовано и само по себе не содержит вредоносного ПО. Однако приложение затем извлекает закодированный скрипт с удаленного сервера, который затем выполняется для установки вредоносного ПО.
После проверки двоичного файла Mach-O, который является универсальной сборкой, мы подтвердили, что он подписан и нотаризован. Подпись связана с идентификатором команды разработчика GNJLS3UYZ4.
Мы также проверили хэши каталогов кода по списку отзыва Apple, и на момент анализа ни один из них не был отозван […]
Большинство полезных нагрузок, связанных с MacSync Stealer, как правило, выполняются в основном в памяти и оставляют мало или совсем не оставляют следов на диске.
Компания заявляет, что злоумышленники все чаще используют такой подход.
Этот сдвиг в распространении отражает более широкую тенденцию в ландшафте вредоносных программ macOS, где злоумышленники все чаще пытаются внедрить свое вредоносное ПО в исполняемые файлы, которые подписаны и нотаризованы, что позволяет им выглядеть как легитимные приложения. Используя эти методы, злоумышленники снижают шансы на раннее обнаружение.
Jamf сообщает, что они уведомили Apple об идентификаторе разработчика, и компания отозвала сертификат.
Мнение 9to5Mac
Как всегда, лучшая защита от вредоносного ПО для Mac — это установка приложений только из Mac App Store и с веб-сайтов доверенных разработчиков.
Рекомендуемые аксессуары
- Официальный магазин Apple на Amazon
- Адаптер питания Apple 40W Dynamic Power Adapter для iPhone 17
- Официальные чехлы и бамперы Apple iPhone Air
- Аккумулятор iPhone Air MagSafe
- Официальный чехол iPhone Air
- Официальные чехлы для iPhone 17
- Официальные чехлы для iPhone 17 Pro и Pro Max
