Güvenlik araştırmacıları, macOS platformunda MacSync Stealer adlı zararlı yazılımın önemli bir evrim geçirdiğini bildiriyor; bu yazılım, Apple onaylaması ve kod imzalama gibi mekanizmaları kullanarak güvenilirliğini artırıyor. Zararlı, zk-call-messenger-installer-3.9.2-lts.dmg adlı bir disk imajı olarak dağıtılıyor ve mesajlaşma ya da yardımcı araç yazılımı gibi göstererek kendini kamufle ediyor.

Önceki sürümlerinden farklı olarak, bu yeni örnek manuel terminal komutlarını gerektirmiyor; uzaktan bir sunucudan yerleşik Swift tabanlı bir yardımcı aracı otomatik olarak indirip çalıştırarak veri topluyor. Hedefte kimlik bilgileri ve kripto para cüzdanları detayları yer alıyor, geliştirici ekip kimliği ise GNJLS3UYZ4 olarak tespit edildi.

Analizler, DMG dosyasının alışılmadık derecede büyük olduğunu ve algılanmadan önce zaman kazanmak için sahte dosyalar içerdiğini ortaya koyuyor. Saldırgan, Apple’ın imzalama sistemini istismar ederek gizliliğini pekiştirirken, LibreOffice PDF’leri gibi sahte dosyalar kullanıcı şüphesini azaltıyor.

Mac tabanlı kripto para cüzdanları ve tarayıcı kimlik bilgileri, bu tür bilgi hırsızı truva atlarının en sık hedefleri arasında. Riski en aza indirmek için, uç nokta cihazlarda tehdit önleme ve gelişmiş tehdit kontrolü özelliklerini etkinleştirin; ayrıca Jamf‘i engelleme modunda çalışacak şekilde yapılandırın.