Nieuwe macOS-malware ontwijkt cruciale Gatekeeper-beveiliging
macOS wordt over het algemeen gezien als een van de ‘veiligere’ besturingssystemen voor computers. Dat heeft er vooral mee te maken dat er minder malware voor beschikbaar is en dat de beveiliging van Apples desktopbesturingssysteem lastiger te omzeilen blijkt. De cybercriminelen achter de MacSync-malware is dat nu echter opnieuw gelukt, en wel via een digitaal ondertekende Swift-app.
MacSync-malware in legitieme app?
Digitaal ondertekend wil in dit geval zeggen dat de app een certificaat meekreeg dat aangeeft dat het om een legitieme app gaat. Bovendien werd de app automatisch gekeurd door Apple, zonder dat er alarmbellen begonnen te rinkelen. Volgens de beveiligingsonderzoekers maakt de malware deel uit van een schijfkopie met de naam ‘zk-call-messenger-installer-3.9.2-lts.dmg’, die wordt verspreid via zkcall[.]net/download.
MacSync is overigens geen nieuwe malware voor macOS. Wel nieuw is de manier waarop die wordt verspreid, namelijk via een digitaal ondertekende en gekeurde macOS-app. Daardoor kan de malware de controles van het Gatekeeper-beveiligingssysteem van macOS overslaan, een beveiligingslaag die normaal voorkomt dat niet-geverifieerde apps zomaar kunnen worden uitgevoerd. Eerder moest de gebruiker ook nog zelf acties uitvoeren via de macOS-terminal, of vond de aanval plaats via een zogenoemde ClickFix-aanval, waarbij gebruikers werden verzocht bepaalde handelingen uit te voeren, zoals het installeren van de schadelijke app.
Nu de malware deel uitmaakt van een ‘goedgekeurde’ app is ze een stuk eenvoudiger te verspreiden. Zodra de MacSync-malware op een systeem aanwezig is, kan er heel wat gevoelige data worden buitgemaakt. Eerdere analyses van MacPaw MoonLock wijzen uit dat het onder meer gaat om iCloud Keychain-inloggegevens, logins die in browsers zijn opgeslagen, bestanden op het systeem en zelfs data van lokale cryptoportemonnees.
Het gaat dan ook om een zogenoemde infostealer. Dat is een type malware dat specifiek gericht is op het stelen van inloggegevens en andere persoonlijke bestanden. Zo proberen aanvallers toegang te krijgen tot e-mailaccounts om vervolgens ook andere accounts over te nemen. Dat onderstreept opnieuw het belang van tweetrapsauthenticatie: zonder die extra beveiligingslaag zijn wachtwoorden op zichzelf onvoldoende.
Certificaat ingetrokken
Intussen is bekend dat Apple het betrokken certificaat heeft ingetrokken. Dat betekent dat de MacSync-infostealer niet langer als een ‘legitieme’ app kan worden verspreid en opnieuw de Gatekeeper-controles van macOS moet doorstaan.
Hoeveel systemen mogelijk al besmet zijn met de MacSync-malware is niet bekend. De infostealer zou al sinds april actief zijn en werd toen geïntroduceerd onder de naam Mac.C.
