Ny MacSync-malware omgår macOS Gatekeeper for å stjele kryptovaluta

En ny variant av MacSync-malwaren retter seg aktivt mot macOS-brukere. Sikkerhetsforskere advarer om at den kan omgå Apples innebygde beskyttelser og stjele sensitive data, inkludert kryptolommebøker. Advarselen kom fra SlowMist, etter at selskapets sjef for informasjonssikkerhet rapporterte at enkelte brukere allerede har mistet eiendeler. Malwaren markerer en ny fase i macOS-trusselutviklingen. I motsetning til eldre versjoner, unngår denne varianten oppdagelse samtidig som den fremstår som legitim for operativsystemet.

Slik omgår malwaren macOS-sikkerheten

Den nye MacSync-varianten kan omgå macOS Gatekeeper, et system som er designet for å blokkere upålitelige applikasjoner. Ifølge forskerne bruker malwaren flere lag med teknikker for å unngå oppdagelse. Dette inkluderer filoppblåsing for å skjule skadelig kode, nettverksverifisering for å bekrefte kjøremiljø, og selvdestruerende skript som fjerner spor etter kjøring.

Som følge av dette etterlater malwaren ofte få spor på disken. Når den først er aktivert, retter den seg mot svært sensitive data, inkludert iCloud-nøkkelringer, passord lagret i nettlesere og kryptolommebøker. I mange tilfeller får angriperne full tilgang før brukeren merker at noe er galt.

Overgang til signert kode øker risikoen

Ytterligere analyser fra Jamf Threat Labs viser at malwaren har utviklet seg i måten den distribueres på. Tidligere MacSync-versjoner baserte seg på sosiale manipulasjonsmetoder, som kommandoer via terminal eller manuell skriptkjøring. Den nye varianten kommer imidlertid som en kode-signert og notarized Swift-applikasjon. Den distribueres i diskbildefiler som ser ut som legitime installasjonsprogrammer, noe som gjør at den passerer innledende macOS-kontroller uten å utløse varsler.

Etter oppstart laster applikasjonen stille ned og kjører et sekundært payload. Mye av aktiviteten foregår i minnet, noe som reduserer sjansen for oppdagelse av tradisjonelle antivirusverktøy. Forskerne mener dette gjenspeiler en bredere trend: Flere macOS-malware bruker nå signerte og notarized eksekverbare filer for å fremstå som pålitelige og utsette oppdagelse.

Kryptolommebøker forblir hovedmål

Malwarens fokus på kryptolommebøker viser de økende risikoene for digitale eiendeler. Når angripere henter private nøkler eller gjenopprettingsdata, er stjålne midler vanligvis uopprettelige. Rapporter indikerer at enkelte berørte brukere mistet kryptovaluta kort tid etter infeksjon. Det var ingen tegn til tvungne transaksjoner eller angrep på børser. I stedet fikk angriperne direkte tilgang til lommebøkene fra kompromitterte enheter. Sikkerhetseksperter advarer om at kryptobrukere er spesielt sårbare, da mange lagrer lommebøker, nettleserutvidelser og påloggingsinformasjon på personlige datamaskiner uten ekstra beskyttelse.

Hva brukere bør gjøre nå

SlowMist oppfordrer macOS-brukere til å unngå å laste ned programvare eller plugins fra ukjente kilder. Selv installasjonsprogrammer som fremstår som legitime kan medføre skjulte risikoer. Eksperter anbefaler også å aktivere avanserte verktøy for trusselbeskyttelse, holde systemene oppdaterte og lagre kryptomidler i hardware-lommebøker når det er mulig. Brukere bør behandle uventede installasjonsprogrammer eller sikkerhetsvarsler med forsiktighet. Etter hvert som angriperne perfeksjonerer teknikkene sine, er macOS ikke lenger et lavrisikomiljø. MacSync-saken viser at selv innebygde beskyttelser kan omgås. For kryptobrukere er årvåkenhet derfor fortsatt helt avgjørende.