Нещодавно безпекова спільнота поділилася важливим попередженням: активний на платформі macOS MacSync Stealer шкідливі програми завершили досить приховане технічне вдосконалення.

Від початкових низькорівневих методів "перетягування до терміналу", "ClickFix" до цього разу еволюціонували до справжніх підписів коду + нотаризованих (notarized) додатків Swift. Це виглядає як звичайне програмне забезпечення, оскільки воно отримало вищу "достовірність" під захистом Apple — ось де найбільша небезпека.

Ще складніше те, що спосіб поширення також став розумнішим. Шкідливі програми перевтілюються на файл zk-call-messenger-installer-3.9.2-lts.dmg, маскуючись під інструмент для миттєвих повідомлень, щоб залучити вас до завантаження. А нова версія особливо підступна — вона зовсім не вимагає від користувача вводити команди в терміналі, всю брудну роботу виконує вбудована програма Swift, яка безпосередньо завантажує сценарії з віддаленого сервера для виконання, завершуючи крадіжку даних.

Дослідники з безпеки вказали, що ID команди розробників цього зразка - GNJLS3UYZ4, і відповідний хеш ще не був скасований Apple. Це означає, що під звичайними механізмами безпеки macOS він може легко обійти більшість користувачів. Зразок також особливо вміло вводить в оману - розмір файлу DMG неймовірно великий, в ньому запаковано багато PDF-файлів, пов'язаних з LibreOffice, для маскування.

Вже є користувачі, які через це втратили активи. Користувачам macOS не слід недооцінювати ситуацію, при завантаженні додатків варто задуматися ще на одну секунду.