Istraživači su do ovog otkrića došli analizirajući malver pod nazivom MacSync Stealer. Sa prethodnim verzijama ovog malvera, napadi na Mac računare često su zahtijevali nezgrapne trikove korisnici su morali sami da prevlače fajlove u Terminal ili da kopiraju i lijepe sumnjive komande da bi pokrenuli infekciju. Nova verzija ovog malvera uklanja te korake, čineći napad znatno opasnijim i teže uočljivim.
Najnovija varijanta malvera dolazi maskirana kao bezazleni instalacioni fajl za chat aplikaciju pod nazivom „zk-call“. Ono što ovaj napad čini posebno podmuklim jeste činjenica da je aplikacija bila digitalno potpisana i notarizovana, što znači da je Mac sistem prepoznaje kao legitimnu. Hakeri su za to iskoristili lažni programerski ID, kako bi prevarili Apple-ov mehanizam provere.
Prema navodima iz Jamf-ovog izvještaja, fajl je čak namjerno „naduvan“ velikim, beskorisnim PDF-ovima kako bi izgledao kao ozbiljna i profesionalna aplikacija, a ne kao sumnjiv program.
Kada korisnik pokrene instalacioni fajl (zk-call-messenger-installer-3.9.2-lts.dmg), u pozadini se aktivira skriveni skript. Međutim, malver ne počinje odmah da pravi probleme. Umjesto toga, ponaša se poput „uspavanog agenta“, čekajući pravi trenutak kako bi izbjegao otkrivanje.
Zanimljivo je da je MacSync Stealer prilično „strpljiv“. On vodi sopstvenu evidenciju rada kroz fajl UserSyncWorker.log. Ako primjeti da je već bio aktivan u posljednjih sat vremena, jednostavno se povlači i prestaje sa radom. Ovakvo ponašanje smanjuje sumnjivu aktivnost i otežava njegovo otkrivanje.
Pravi cilj napada je ozbiljan udar na privatnost korisnika. Malver traži fajl login.keychain-db, u kojem macOS čuva sve sačuvane lozinke – od mejlova i društvenih mreža do bankarskih naloga. Da bi došao do tih podataka, može da prikaže lažni prozor koji od korisnika traži unos sistemske lozinke.
Upravo zato stručnjaci upozoravaju: ako vam se odmah nakon instalacije nove aplikacije pojavi neočekivan zahtjev za unos lozinke, to je ozbiljan znak za uzbunu.
Apple je u međuvremenu opozvao digitalni sertifikat koji su napadači koristili, ali ovaj incident jasno pokazuje da čak ni aplikacije koje su prošle Apple-ov proces provjere ne treba automatski smatrati potpuno bezbijednim, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.