9to5Mac Security Byte exclusivo para usted Mosyle, la única plataforma unificada de Apple. Lo que hacemos es hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para una gestión de privilegios exclusiva con protección y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y el MDM de Apple más potente y moderno del mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada en la que ahora confían más de 45.000 organizaciones para poner en funcionamiento los dispositivos Apple sin esfuerzo y a un costo asequible. Su solicitud de prueba extendida Hoy y por qué Mosyle entiende todo lo que necesita para trabajar con Apple.
La semana pasada, Jamf Threat Labs publicó una investigación sobre otra variante de la cada vez más popular familia MacSync Stealer que llamó la atención sobre un problema creciente con la seguridad de macOS: el malware que se cuela en las protecciones de aplicaciones de terceros más notables de Apple. Esta nueva variante se distribuyó dentro de una aplicación maliciosa que estaba firmada con un código con una identificación de desarrollador válida y certificada ante notario por Apple, lo que significa que Gatekeeper no tenía motivos para bloquear su lanzamiento.
Históricamente, el modelo de Apple ha funcionado bastante bien. Las aplicaciones distribuidas fuera de la Mac App Store deben estar firmadas criptográficamente y certificadas ante notario para que los usuarios puedan abrirlas sin pasar por muchos obstáculos. Pero ese modelo de confianza supone que firmar demuestra buenas intenciones. Lo que estamos viendo ahora es que los atacantes obtienen certificados de desarrollador genuinos y envían malware que, una vez instalado, es indistinguible del software legítimo.
Después de hablar con varias personas familiarizadas con el asunto, los actores de amenazas tienen algunas formas de lograrlo. En muchos casos, utilizan una combinación de lo siguiente:
Las aplicaciones maliciosas firmadas y certificadas ante notario pueden funcionar con credenciales de identificación de desarrollador que han sido comprometidas o incluso compradas a través de canales clandestinos, lo que reduce significativamente las sospechas. Analizamos el informe de Jamf sobre uno Nueva variante de MacSync StealerEl binario inicial suele ser un ejecutable relativamente simple basado en Swift que parece benigno durante el análisis estático de Apple y no hace nada por sí solo.
El comportamiento malicioso real ocurre más tarde, cuando la aplicación llega a la infraestructura remota para recuperar cargas útiles adicionales. Si esas cargas útiles no están disponibles durante la certificación notarial y sólo están activas en condiciones de ejecución del mundo real, los escáneres de Apple no tienen nada malicioso que analizar. El proceso de certificación notarial evalúa lo que hay en el momento del envío, no lo que una aplicación puede recuperar después del lanzamiento, y los atacantes claramente están diseñando alrededor de esos límites.
La primera instancia de malware certificado por Apple se remonta al menos a 2020 y fue descubierta por un Usuario de Twitter. A principios de julio, hubo otro caso de una aplicación maliciosa similar que fue firmada y certificada ante notario por Apple. Ahora bien, ¿ha llegado al punto de ebullición? probablemente no. Por un lado, estoy de acuerdo en que este fenómeno es un ejemplo demasiado.
Por otro lado, creo que es demasiado fácil culpar a Apple. Básicamente, el sistema funciona según lo diseñado. La firma de código y la certificación notarial nunca pretenden garantizar que el software sea benigno para siempre, solo que se puede rastrear hasta un desarrollador original y revocarlo si se descubre un abuso.
Este es un vector de ataque interesante y continuaré rastreandolo hasta 2026.
Al fin y al cabo, la mejor defensa contra el malware es descargar software directamente de desarrolladores de confianza o de la Mac App Store.
Security Byte es la inmersión profunda semanal de 9to5Mac en el mundo de la seguridad de Apple. Cada semana, Arin Vaichulis analiza nuevas amenazas, preocupaciones sobre la privacidad, vulnerabilidades y más, formando un ecosistema de más de 2 mil millones de dispositivos.
