Kami baru-baru ini melihat bagaimana ChatGPT digunakan untuk mengelabui pengguna Mac agar menginstal MacStealer, dan kini taktik berbeda telah ditemukan untuk membujuk pengguna agar menginstal versi MacSync Stealer.
Mac tetap menjadi target yang relatif sulit bagi penyerang berkat perlindungan Apple terhadap instalasi malware. Namun, malware Mac sedang meningkat, dan dua taktik yang baru-baru ini ditemukan oleh peneliti keamanan menyoroti pendekatan kreatif yang digunakan beberapa penyerang …
Ada dua alasan utama mengapa malware Mac relatif jarang dibandingkan dengan mesin Windows. Yang pertama, tentu saja, adalah pangsa pasar Mac yang relatif rendah. Yang kedua adalah perlindungan bawaan yang disertakan Apple untuk mendeteksi dan memblokir aplikasi jahat.
Seiring dengan pertumbuhan pangsa pasar Mac, daya tarik platform sebagai target juga mengalami hal yang sama, terutama mengingat demografi Apple menjadikan pengguna Mac sebagai target yang menggiurkan khususnya untuk penipuan keuangan.
Saat Anda mencoba memasang aplikasi Mac baru, macOS memeriksa apakah aplikasi tersebut telah disahkan oleh Apple sebagai telah ditandatangani oleh pengembang yang dikenal. Jika tidak, fakta ini akan ditandai dan macOS kini menjadikannya proses yang relatif berbelit-belit untuk melewati perlindungan dan tetap menginstalnya.
Awal bulan ini, kami mengetahui bahwa penyerang menggunakan ChatGPT dan chatbot AI lainnya untuk mengelabui pengguna Mac agar menempelkan baris perintah ke Terminal, yang kemudian menginstal Macware. Perusahaan keamanan siber Jamf kini telah menemukan contoh pendekatan lain yang diterapkan.
Penginstal Pencuri MacSync
kata Jamf bahwa malware tersebut merupakan varian dari malware MacSync Stealer yang “semakin aktif”.
Penyerang menggunakan aplikasi Swift yang telah ditandatangani dan disahkan oleh notaris dan tidak mengandung malware apa pun. Namun, aplikasi kemudian mengambil skrip yang disandikan dari server jarak jauh, yang kemudian dijalankan untuk menginstal malware.
Setelah memeriksa biner Mach-O, yang merupakan build universal, kami mengonfirmasi bahwa biner tersebut ditandatangani dan diaktakan. Tanda tangan dikaitkan dengan ID Tim Pengembang GNJLS3UYZ4.
Kami juga memverifikasi hash direktori kode terhadap daftar pencabutan Apple, dan pada saat analisis, tidak ada yang dicabut (…)
Sebagian besar muatan yang terkait dengan MacSync Stealer cenderung berjalan terutama di memori dan meninggalkan sedikit atau tidak ada jejak pada disk.
Perusahaan mengatakan bahwa semakin banyak penyerang yang menggunakan pendekatan semacam ini.
Pergeseran dalam distribusi ini mencerminkan tren yang lebih luas di lanskap malware macOS, di mana semakin banyak penyerang yang berusaha menyelundupkan malware mereka ke dalam file executable yang ditandatangani dan disahkan, sehingga membuatnya terlihat lebih seperti aplikasi yang sah. Dengan memanfaatkan teknik ini, musuh mengurangi kemungkinan terdeteksi sejak dini.
Jamf mengatakan telah melaporkan ID pengembang ke Apple dan perusahaan kini telah mencabut sertifikat tersebut.
Pengambilan 9to5Mac
Seperti biasa, perlindungan terbaik terhadap malware Mac adalah dengan menginstal aplikasi hanya dari Mac App Store dan dari situs web pengembang yang Anda percaya.
Aksesori yang disorot
Foto oleh Ramsyid pada Hapus percikan
FTC: Kami menggunakan tautan afiliasi otomatis yang menghasilkan pendapatan. Lagi.
