Pratite nas preko RSS-aMacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Opisi virusa, 24.12.2025, 11:30 AM
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje da je neki program bezbedan za instalaciju. Međutim, novo istraživanje stručnjaka iz Jamf Threat Labs pokazuje da su hakeri pronašli način da zaobiđu Apple-ov mehanizam provere aplikacija.
Istraživači su do ovog otkrića došli analizirajući malver pod nazivom MacSync Stealer. Sa prethodnim verzijama ovog malvera, napadi na Mac računare često su zahtevali nezgrapne trikove - korisnici su morali sami da prevlače fajlove u Terminal ili da kopiraju i lepe sumnjive komande da bi pokrenuli infekciju. Nova verzija ovog malvera uklanja te korake, čineći napad znatno opasnijim i teže uočljivim.
Najnovija varijanta malvera dolazi maskirana kao bezazleni instalacioni fajl za chat aplikaciju pod nazivom „zk-call“. Ono što ovaj napad čini posebno podmuklim jeste činjenica da je aplikacija bila digitalno potpisana i notarizovana, što znači da je Mac sistem prepoznaje kao legitimnu. Hakeri su za to iskoristili lažni programerski ID, kako bi prevarili Apple-ov mehanizam provere.
Prema navodima iz Jamf-ovog izveštaja, fajl je čak namerno „naduvan“ velikim, beskorisnim PDF-ovima kako bi izgledao kao ozbiljna i profesionalna aplikacija, a ne kao sumnjiv program.
Kada korisnik pokrene instalacioni fajl (zk-call-messenger-installer-3.9.2-lts.dmg), u pozadini se aktivira skriveni skript. Međutim, malver ne počinje odmah da pravi probleme. Umesto toga, ponaša se poput „uspavanog agenta“, čekajući pravi trenutak kako bi izbegao otkrivanje.
Zanimljivo je da je MacSync Stealer prilično „strpljiv“. On vodi sopstvenu evidenciju rada kroz fajl UserSyncWorker.log. Ako primeti da je već bio aktivan u poslednjih sat vremena, jednostavno se povlači i prestaje sa radom. Ovakvo ponašanje smanjuje sumnjivu aktivnost i otežava njegovo otkrivanje.
Pravi cilj napada je ozbiljan udar na privatnost korisnika. Malver traži fajl login.keychain-db, u kojem macOS čuva sve sačuvane lozinke - od mejlova i društvenih mreža do bankarskih naloga. Da bi došao do tih podataka, može da prikaže lažni prozor koji od korisnika traži unos sistemske lozinke.
Upravo zato stručnjaci upozoravaju: ako vam se odmah nakon instalacije nove aplikacije pojavi neočekivan zahtev za unos lozinke, to je ozbiljan znak za uzbunu.
Apple je u međuvremenu opozvao digitalni sertifikat koji su napadači koristili, ali ovaj incident jasno pokazuje da čak ni aplikacije koje su prošle Apple-ov proces provere ne treba automatski smatrati potpuno bezbednim.
Izdvojeno
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Lažne ponude za posao na LinkedIn-u služe kao mamac za macOS malver FlexibleFerret
Istraživači Malwarebytes-a su otkrili novi napad usmeren na korisnike Mac računara - lažne ponude za posao koje vode do instalacije malvera preko ... Dalje
DigitStealer: novi macOS infostealer
Novi infostealer za macOS, nazvan DigitStealer, je malver koji krade osetljive informacije od korisnika macOS-a. Većina infostealera krade sličnee t... Dalje
Zloglasni ransomware kartel LockBit obeležio godišnjicu rada najopasnijom verzijom ransomware-a do sada
Trend Micro je otkrio novu verziju ransomware-a LockBit, LockBit 5.0, koja je „značajno opasnija“ od prethodnih verzija. Grupa LockBit ob... Dalje
Pratite nas
Nagrade
Prijatelji
