کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی نسخهای جدید از بدافزار MacSync در سیستمعامل macOS خبر دادهاند که با سوءاستفاده از اپلیکیشن امضاشده و تأییدشده، موفق به دور زدن سد امنیتی Gatekeeper شده است. این بدافزار در قالب یک فایل DMG حاوی اپلیکیشن Swift با امضای معتبر منتشر شده و خود را بهعنوان نصبکننده یک پیامرسان معرفی کرده است.
به گزارش کمیته رکن چهارم، این نسخه جدید MacSync بدون نیاز به دخالت مستقیم کاربر و با ترفندهایی مانند درخواست باز کردن اپلیکیشن از طریق گزینه “Open”، قادر است فایل مخرب را اجرا کند. اپلیکیشن پس از اجرا، با بررسی اتصال اینترنت، حذف پرچم قرنطینه و بارگیری اسکریپت رمزگذاریشده از طریق curl، Payload نهایی را دریافت و اجرا میکند.
فایل نهایی، نسخهای بازبرندشده از بدافزار Mac.c است که با زبان Go نوشته شده و علاوه بر سرقت داده، قابلیت ارتباط با سرور فرماندهی و کنترل را دارد. از دیگر تکنیکهای پنهانسازی استفادهشده در این کمپین، افزایش غیرمعمول حجم فایل DMG از طریق جاسازی فایلهای PDF نامرتبط است.
این بدافزار از سایت zkcall[.]net/download توزیع شده و پس از گزارش، گواهی امضای آن توسط اپل باطل شده است. با این حال، Jamf هشدار داده که روند استفاده از فایلهای notarized برای توزیع بدافزار در macOS در حال افزایش است و نمونههای مشابهی از جمله نسخههای بدافزار Odyssey با پوشش Google Meet نیز دیده شدهاند.
