Jamf Threat Labsの最新調査によると、新たに発見された MacSync Stealer の亜種が、署名済みで公証(notarized)されたSwiftアプリケーションを通じて情報窃取ペイロードを配布し、Appleの信頼されたアプリ・エコシステムを悪用しています。
この刷新版は、従来の実行トリックを捨て、よりステルス性が高く手間のかからない感染チェーンを採用しており、ユーザーの疑念やmacOSに組み込まれた防御を容易に回避できるとされています。
ユーザー補助の「ドラッグしてターミナルへ」や「ClickFix」コマンドに依存していた以前のバージョンとは異なり、最新のMacSync Stealerは、 zk-call-messenger-installer-3.9.2-lts.dmg という名前のディスクイメージに埋め込まれた公証済みSwiftアプリケーションとして提供され、 zkcall[.]net 経由で配布されています。
AppleのDeveloper Team ID GNJLS3UYZ4 (現在は失効)で コード署名 されているにもかかわらず、このインストーラーはユーザー操作なしにペイロードを密かにダウンロードします。
実行されると、ドロッパーはリモートサーバーから エンコードされたスクリプト を取得し、 Swiftベースのヘルパーバイナリ を介して実行します。
runtimectl と題されたこの実行ファイルは、インターネット接続を検証し、 ~/Library/Logs/UserSyncWorker.log にログファイルを維持し、スケジューリングと永続化を管理するための補助ファイルを ~/Library/Application Support/UserSyncWorker/ 内に作成するダウンローダーとして機能します。
Jamfの分析では、目的を隠すための囮PDFが埋め込まれていたことにより、アプリケーションバンドルが25.5MBと異常に大きく見えたと指摘されています。
VirusTotalのサンプルでは検出が限定的で、1~13のアンチウイルスエンジンのみがファイルを検知し、多くの場合、 Coinminer または OOOID マルウェアファミリーに関連する汎用ダウンローダーとして分類していました。
ネットワークアクセスが確認されると、 https[:]//gatemaden.space/curl/985683… から難読化されたペイロードを、微妙なフラグ変更( -fsSL を -fL -sS に分割し、さらに –noproxy を追加)を含むカスタム curl コマンドで取得します。これは信頼性を高め、検知回避を狙った可能性があります。
一時的に /tmp/runner へ保存されるダウンロード済みスクリプトは、以前のMacSync Stealerのキャンペーン のペイロードと一致し、MacSyncのコマンド&コントロール基盤に以前関連付けられていた focusgroovy[.]com ドメインと通信します。
実行前に、マルウェアは com.apple.quarantine 属性を削除し、 spctl でファイルを検証したうえで実行し、その後削除して痕跡を最小化します。
セキュリティ専門家は、コード署名だけではもはや安全性を保証できないと警告しており、macOSユーザーおよび管理者に対して、MacSyncのように進化する情報窃取型マルウェアに対抗するため、高度な脅威制御とブロックモード検知を有効化するよう促しています。
翻訳元: https://cyberpress.org/macsync-stealer/