Theo ChainCatcher, 23pds, Giám đốc An ninh Thông tin SlowMist, đã chia sẻ một bài báo cho biết phần mềm độc hại MacSync Stealer, hoạt động trên nền tảng macOS, đã trải qua quá trình phát triển đáng kể và một số người dùng đã bị đánh cắp tài sản.
Bài báo được chuyển tiếp đề cập rằng phương pháp này đã nâng cấp từ việc dựa vào các chiến thuật dễ tiếp cận như "kéo và thả vào terminal" và "ClickFix" sang sử dụng ứng dụng Swift có chữ ký mã và chứng nhận của Apple, giúp cải thiện đáng kể khả năng ẩn mình. Các nhà nghiên cứu phát hiện ra rằng mẫu này lây lan dưới dạng ảnh đĩa có tên zk-call-messenger-installer-3.9.2-lts.dmg, dụ người dùng tải xuống bằng cách ngụy trang thành ứng dụng nhắn tin tức thời hoặc ứng dụng tiện ích. Không giống như các phiên bản trước, phiên bản mới không yêu cầu người dùng thao tác trên terminal; thay vào đó, một chương trình hỗ trợ Swift tích hợp sẵn sẽ tải xuống và thực thi một kịch bản được mã hóa từ máy chủ từ xa để hoàn tất quá trình đánh cắp thông tin.
Phần mềm độc hại này đã được Apple ký mã và chứng nhận. Mã định danh đội ngũ phát triển là GNJLS3UYZ4, và các mã băm liên quan chưa bị Apple thu hồi tại thời điểm phân tích. Điều này có nghĩa là nó có "độ tin cậy" cao hơn theo các cơ chế bảo mật mặc định của macOS, khiến nó dễ dàng vượt qua sự cảnh giác của người dùng. Nghiên cứu cũng phát hiện ra rằng tệp DMG có kích thước lớn bất thường và chứa các tệp mồi nhử như các tệp PDF liên quan đến LibreOffice để giảm bớt sự nghi ngờ.
Các nhà nghiên cứu bảo mật chỉ ra rằng các Trojan đánh cắp thông tin như vậy thường nhắm mục tiêu vào dữ liệu trình duyệt, thông tin đăng nhập tài khoản và thông tin ví crypto . Khi phần mềm độc hại bắt đầu lạm dụng một cách có hệ thống các cơ chế ký và chứng thực của Apple, rủi ro bị Phishing và rò rỉ private key đối với người dùng tài sản crypto trên hoàn cảnh đang tăng.
