
Iako je macOS općenito vrlo stabilan, ponekad se dogodi da aplikacija prestane raditi i vaš Mac ponudi slanje dijagnostičkog izvješća Appleu.
Otkriven je novi oblik zlonamjernog softvera za Mac koji stvara lažne verzije ovog obrasca, tražeći vašu Mac lozinku kao dio prikupljanja podataka. Ako pristanete, dobit će pristup ogromnom rasponu osobnih podataka, uključujući vaše upravitelje lozinkama i kripto novčanike…
Jamf navodi da je praćenje ovog zlonamjernog softvera počelo u svibnju te da ga je sada uočio u stvarnim uvjetima.
Početkom svibnja, sumnjivi macOS uzorak učitan na VirusTotal pojavio se kroz naš sustav za obradu uzoraka, a Jamf Threat Labs ga je počeo pratiti. Oponašao je Appleov okvir za izvještavanje o padovima i u tom trenutku izgledao je kao alat za krađu informacija koji je još uvijek u razvoju. Početkom srpnja počeli smo viđati detekcije korisnog tereta u stvarnim uvjetima koji odgovaraju jednom od naših internih pravila, što ukazuje da je projekt sazrio od razvoja do aktivne upotrebe. Ovaj zlonamjerni softver pratimo pod nazivom CrashStealer.
Tvrtka za kibernetičku sigurnost navodi da je disk slika korištena za distribuciju zlonamjernog softvera u početku imala valjani Apple Developer ID i notarizaciju koja joj je omogućila prolaz kroz Gatekeeper provjere.
Početni pristup ostvaruje se putem disk slike nazvane “Werkbit Setup”, koja se montira na
/Volumes/Werkbit Setupi sadrži jedan paket aplikacije,Werkbit.app. Njezin izvršni program naziva seveltodi nosi identifikator paketadev.golove.velto. Za razliku od korisnog tereta koji na kraju instalira, dropper je ispravno potpisan kodom i notariziran: radi se o univerzalnoj (arm64 i x86_64) binarnoj datoteci potpisanoj s Developer ID-omEmil Grigorov (WWB7JA7AQV), ima omogućen ojačani runtime i nosi priloženu notarizacijsku potvrdu. Posebno je zanimljivo da je i sama disk slika potpisana, a ne samo aplikacija unutar nje, što je neuobičajeno kod zlonamjernih DMG isporuka gdje kontejner obično ostaje nepotpisan.
Macworld navodi da je Apple opozvao vjerodajnice, pa bi ga Gatekeeper sada trebao detektirati. Ipak, preporučuje se oprez. Uz praćenje te disk slike, trebali biste pažljivo pregledavati izvješća o padovima aplikacija i svaki upit za lozinku koji tvrdi da Postavke sustava žele izvršiti promjene.
Kao i uvijek, najbolja zaštita je osigurati da preuzimate aplikacije isključivo iz Mac App Storea i s web stranica programera kojima vjerujete.
Fotografija: Philipp Katzenberger na Unsplashu
FTC: Koristimo automatske affiliate veze koje donose prihod. Više.

