9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o Apple MDM mais poderoso e moderno do mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.
Na semana passada, o Jamf Threat Labs publicou uma pesquisa sobre outra variante da cada vez mais popular família MacSync Stealer, chamando a atenção para um problema crescente na segurança do macOS: malware que está se infiltrando nas proteções de aplicativos de terceiros mais importantes da Apple. Esta nova variante foi distribuída dentro de um aplicativo malicioso que foi assinado por código com um ID de desenvolvedor válido e autenticado pela Apple, o que significa que o Gatekeeper não tinha motivos para bloquear seu lançamento.
Historicamente, o modelo da Apple funcionou muito bem. Os aplicativos distribuídos fora da Mac App Store devem ser assinados criptograficamente e autenticados para serem abertos sem que os usuários tenham que passar por muitos obstáculos. Mas esse modelo de confiança pressupõe que a assinatura comprove boas intenções. O que estamos vendo agora é que os invasores estão obtendo certificados reais de desenvolvedor e enviando malware que parece indistinguível de software legítimo no momento da instalação.
Depois de conversar com várias pessoas familiarizadas com o assunto, existem algumas maneiras pelas quais os atores da ameaça estão tentando conseguir isso. Em muitos casos, eles usam uma combinação do seguinte:
Aplicativos maliciosos assinados e autenticados podem operar com certificados de ID de desenvolvedor comprometidos ou até mesmo adquiridos por canais clandestinos, o que reduz significativamente as suspeitas. Como vimos no relatório de Jamf sobre uma nova variante do MacSync Stealer, o binário inicial costuma ser um executável relativamente simples baseado em Swift que parece benigno durante a análise estática da Apple e faz pouco por si só.
O verdadeiro comportamento malicioso acontece mais tarde, quando o aplicativo acessa a infraestrutura remota para buscar cargas adicionais. Se essas cargas não estiverem disponíveis durante o reconhecimento de firma e forem ativadas apenas em condições de tempo de execução do mundo real, os scanners da Apple não terão nada malicioso para analisar. O processo de reconhecimento de firma avalia o que existe no momento do envio, e não o que um aplicativo pode recuperar após o lançamento, e os invasores estão claramente projetando em torno desse limite.
A primeira instância de malware autenticado pela Apple remonta pelo menos a 2020, descoberta por um usuário do Twitter. No início de julho deste ano, houve outro caso de aplicativo malicioso semelhante que foi assinado e autenticado pela Apple. Agora, isso atingiu o ponto de ebulição? Provavelmente não. Por um lado, concordo que mesmo um único caso em que isso aconteça já é demais.
Por outro lado, acho muito fácil colocar a culpa na Apple aqui. O sistema está funcionando em grande parte conforme projetado. A assinatura de código e o reconhecimento de firma nunca foram concebidos para garantir que o software seja benigno para sempre, apenas que ele possa ser rastreado até um desenvolvedor real e revogado quando o abuso for descoberto.
Este é um vetor de ataque intrigante e continuarei monitorando até 2026.
No final das contas, a melhor defesa contra malware é baixar software diretamente de desenvolvedores em quem você confia ou da Mac App Store.
Security Bite é o mergulho semanal do 9to5Mac no mundo da segurança da Apple. A cada semana, Arin Waichulis revela novas ameaças, preocupações com a privacidade, vulnerabilidades e muito mais, moldando um ecossistema de mais de 2 bilhões de dispositivos.
Siga Arin: Twitter/X, LinkedIn, Tópicos
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
