Notářsky ověřená aplikace krade soubory z macOS. Je rafinovanější než kdy dříve
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Uživatelé Apple počítačů čelí nové, leč mimořádně nenápadné hrozbě. Škodlivý software se vydává za běžnou aplikaci a bez varování obchází i vestavěné zabezpečení macOS.
Zdánlivě obyčejná aplikace určená k instalaci běžné komunikační služby je ve skutečnosti propracovaným nástrojem pro krádež dat, který bez obtíží zvládne obejít i vestavěnou ochranu systému macOS. Redakce Mobify zaregistrovala, že útočníci spoléhají na důvěru uživatelů v digitální podpisy a „ověřené“ aplikace.
MacSync je maskovaný za notářsky ověřenou appku
Experti odhalili novou variantu tzv. infostealeru (špionážní software, který krade osobní a citlivé informace, vysvětluje ESET) s názvem MacSync. Malware cílí na počítače Apple a je šířený v podobě notářsky ověřené aplikace napsané ve Swiftu, tedy programovacím jazyku Applu, uvádí Wikipedia. Oproti starším verzím je to rozdíl, protože ji tak systém považuje za bezpečnou a neblokuje její spuštění.
Aplikace je distribuována v souboru typu DMG (instalační obraz disku) a tváří se jako běžný instalační soubor chatovací služby. Jelikož má platný podpis, bez potíží obejde ochrany jako Gatekeeper nebo XProtect, které mají uživatele před podobnými hrozbami chránit.
Malware si nejprve ověří, zda má volnou cestu
Jakmile spustíte instalační soubor, malware nejprve nenápadně ověří, jestli má vaše zařízení přístup k internetu a zda nebyl spuštěný příliš brzy po předchozím pokusu (čeká zhruba hodinu). Následně odstraní tzv. karanténní příznaky, tedy označení, že soubor pochází z internetu, a stáhne další, skrytý škodlivý skript, uvádí theHackerNews.
Ten je zakódovaný v Base64 a teprve po rozbalení se ukáže, že jde o MacSync, přejmenovanou a vylepšenou verzi staršího malwaru Mac.c, poprvé zaznamenaného na jaře 2025. Podle expertů z Moonlock Lab obsahuje aplikace zkrátka agenta, který umožňuje útočníkům vzdáleně počítač ovládat, nejen krást soubory.
Jedním z triků, aby si uživatel nevšiml ničeho divného, je i zbytečně velká velikost instalačního souboru (přes 25 MB), do kterého jsou přidány nesouvisející PDF dokumenty. To ztěžuje odhalení malwaru. Útočníci navíc změnili způsob stahování dat, aby se vyhnuli bezpečnostním nástrojům, které hledají podezřelé vzorce chování.
Apple sice dodatečně zrušil certifikát, kterým byla aplikace podepsaná, ale škody už mohly být napáchány. Digitální podpis už sám o sobě prostě není zárukou bezpečnosti. Doporučujeme instalovat software pouze z oficiálních zdrojů, sledovat neobvyklé chování systému a používat doplňkové bezpečnostní nástroje.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky ESET, Oficiální stránky theHackerNews, Oficiální stránky MoonLock