Ny MacSync skadevare dropper omgår macOS Gatekeeper.
Ny MacSync skadevare dropper omgår macOS Gatekeeper
En ny variant av "MacSync-info stealer" mot macOS er oppdaget av Jamf, og den skiller seg fra tidligere versjoner ved å bli distribuert som en digitalt signert og notarisert Swift-applikasjon i en DMG-fil kalt zk-call-messenger-installer-3.9.2-lts.dmg, tilgjengelig via hxxps://zkcall[.]net/download.
Denne metoden gjør at den kan omgå macOS Gatekeeper, noe som markerer en betydelig utvikling fra tidligere taktikker som krevde terminalinteraksjon. Sertifikatet (Team ID: GNJLS3UYZ4) var gyldig ved funn, men er nå opphevet av Apple.
Skadevaren leveres via en dropper med kodet payload som etter dekoding viser klassiske MacSync funksjoner, inkludert tyveri av iCloud nøkler, nettleserpassord, kryptolommebøker og filer. Den benytter flere evasjonsmekanismer, som oppblåsing av DMG med falske PDF-er, sletting av kjøringsskript og nettverkskontroll for å unngå sandbox. MacSync dukket først opp i april 2025 og har siden tilpasset seg Apples strengere notariseringskrav, noe som gjenspeiles i denne avanserte varianten.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.