En ny variant av den macOS-specifika malwarefamiljen MacSync har upptäckts och använder sig av en digitalt signerad och notariserad Swift-app för att ta sig förbi Apples säkerhetsspärrar. Det gör att macOS inbyggda skydd Gatekeeper inte stoppar filen när den öppnas. Skillnaden mot tidigare MacSync-versioner är att i stället för att lura användare att klistra in kommandon i Terminalen så körs skadlig kod direkt via en app som ser legitim ut och packats i en diskavbildning (dmg) som påstås vara en messenger-installerare. Apple har som tur är dragit tillbaka den aktuella signaturen av appen.
När den falska appen startats så kontrollerar den nätverksanslutningen, tar bort karantänsstatus och laddar ned ett dolt skript som körs i bakgrunden. Syftet är att installera MacSync-payloaden, som kan stjäla inloggningsuppgifter, nycklar till kryptovalutor och annan känslig information från drabbade Mac-datorer.
Det här är en del av en bredare trend där angripare utnyttjar Apples egen notariseringsprocess och signeringsmekanismer för att få skadlig kod att se betrodd ut. Säkerhetsexperter menar att detta ökar risken eftersom användare i högre grad litar på appar med giltiga certifikat, vilket i förlängningen kan göra standardförsvaren mindre effektiva.
