Zavřít reklamu

Ačkoliv je macOS obecně velmi stabilní, občas se stane, že nějaká aplikace spadne a váš Mac vám nabídne odeslání diagnostické zprávy Applu. Nyní však byla objevena nová forma malwaru pro Mac, která vytváří přesné falešné kopie tohoto formuláře a jako součást sběru dat po vás požaduje zadání hesla k vašemu Macu. Pokud mu vyhovíte, útočníci získají přístup k obrovskému množství vašich osobních údajů, včetně správců hesel a kryptoměnových peněženek.

Od vývoje k aktivnímu šíření

Kyberbezpečnostní společnost Jamf uvedla, že tento malware začala sledovat již v květnu a nyní jej zaznamenala v běžném provozu. „Začátkem května se v našem systému pro zpracování vzorků objevil podezřelý vzorek pro macOS nahraný na VirusTotal a laboratoř Jamf Threat Labs jej začala sledovat. Vydával se za systém pro hlášení chyb od Applu a v té době vypadal jako infostealer, který je stále ve vývoji,“ uvedli zástupci společnosti. Do začátku července už začali zaznamenávat reálné detekce této hrozby v praxi, což znamenalo, že projekt přešel z fáze vývoje do aktivního používání. Tento malware dostal jméno CrashStealer.

Úspěšné obelstění Gatekeeperu

Odborníci ze společnosti Jamf upozorňují, že obraz disku (disk image) použitý k distribuci malwaru měl zpočátku platné Apple Developer ID a notářské ověření, což mu umožnilo bez problémů projít přes ochranný systém Gatekeeper.

Počáteční přístup probíhá přes obraz disku s názvem „Werkbit Setup“, který se připojuje jako /Volumes/Werkbit Setup a obsahuje jedinou aplikaci s názvem Werkbit.app. Její spustitelný soubor nese název veltod s identifikátorem dev.golove.velto. Na rozdíl od samotného škodlivého kódu, který se nakonec nainstaluje, byl tento „dropper“ řádně podepsaný a notářsky ověřený. Šlo o univerzální binární soubor (pro architektury arm64 i x86_64) podepsaný pomocí Developer ID na jméno Emil Grigorov (WWB7JA7AQV), měl povolený tzv. hardened runtime a nesl přibalený lístek o notářském ověření. Zajímavostí je, že podepsán byl i samotný obraz disku, nikoliv jen aplikace uvnitř, což je u škodlivých DMG souborů velmi neobvyklé.

Jak se účinně bránit

Magazín Macworld informoval, že Apple již příslušné certifikáty zneplatnil, takže by nyní měl Gatekeeper tento malware úspěšně detekovat. Přesto je namístě zvýšená opatrnost. Kromě toho, že byste si měli dávat pozor na zmíněný obraz disku, je důležité pečlivě zkoumat všechna chybová hlášení aplikací a jakékoliv výzvy k zadání hesla s tvrzením, že Předvolby systému (System Preferences) chtějí provést změny. Jako vždy přitom platí, že vaší nejlepší ochranou je stahovat aplikace výhradně z oficiálního Mac App Store a z webových stránek vývojářů, kterým plně důvěřujete.

Dnes nejčtenější

.