9to5Mac Security Bite es presentado exclusivamente por Mosyle, la única Plataforma Unificada de Apple. Todo lo que hacemos es hacer que los dispositivos Apple estén listos para trabajar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva con el MDM de Apple más potente y moderno del mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada, en la que actualmente confían más de 45.000 organizaciones para que millones de dispositivos Apple estén listos para funcionar sin esfuerzo y a un costo asequible. Solicita tu PRUEBA EXTENDIDA hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
La semana pasada, Jamf Threat Labs investigación publicada en otra variante más de la cada vez más popular familia MacSync Stealer que llama la atención sobre un problema creciente en la seguridad de macOS: el malware que se esconde en las protecciones de aplicaciones de terceros más importantes de Apple. Esta nueva variante se distribuyó dentro de una aplicación maliciosa que estaba firmada con un código con una identificación de desarrollador válida y certificada ante notario por Apple, lo que significa que Gatekeeper no tenía motivos para bloquear su lanzamiento.
Históricamente, el modelo de Apple ha funcionado bastante bien. Las aplicaciones distribuidas fuera de la Mac App Store deben estar firmadas criptográficamente y certificadas ante notario para poder abrirse sin que los usuarios pasen por muchos obstáculos. Pero ese modelo de confianza supone que la firma demuestra buenas intenciones. Lo que estamos viendo ahora es que los atacantes obtienen certificados de desarrollador reales y envían malware que parece indistinguible del software legítimo en el momento de la instalación.
Después de hablar con varias personas familiarizadas con el asunto, hay algunas formas en que los actores de amenazas pueden lograrlo. En muchos casos, utilizan una combinación de lo siguiente:
Las aplicaciones maliciosas firmadas y certificadas ante notario podrían estar funcionando con certificados de ID de desarrollador comprometidos o incluso comprados a través de canales clandestinos, lo que reduce significativamente las sospechas. Como vimos en el informe de Jamf sobre un nueva variante MacSync Stealerel binario inicial es a menudo un ejecutable relativamente simple basado en Swift que parece benigno durante el análisis estático de Apple y hace poco por sí solo.
El verdadero comportamiento malicioso ocurre más tarde, cuando la aplicación llega a una infraestructura remota para recuperar cargas útiles adicionales. Si esas cargas útiles no están disponibles durante la certificación notarial y sólo se activan en condiciones de ejecución del mundo real, los escáneres de Apple no tienen nada malicioso que analizar. El proceso de certificación notarial evalúa lo que existe en el momento del envío, no lo que una aplicación puede recuperar después del lanzamiento, y los atacantes claramente están diseñando alrededor de ese límite.
La primera instancia de malware certificado por Apple se remonta al menos a 2020 y fue descubierta por un Usuario de Twitter. A principios de julio, hubo otro caso de una aplicación maliciosa similar que fue firmada y certificada ante notario por Apple. Ahora bien, ¿ha llegado esto al punto de ebullición? Probablemente no. Por un lado, estoy de acuerdo en que incluso un solo caso de que esto suceda es demasiado.
Por otro lado, creo que es demasiado fácil echarle la culpa a Apple. El sistema funciona en gran medida según lo diseñado. La firma de código y la certificación notarial nunca tuvieron como objetivo garantizar que el software sea benigno para siempre, solo que se pueda rastrear hasta un desarrollador real y revocarlo cuando se descubra un abuso.
Este es un vector de ataque intrigante y continuaré rastreandolo hasta 2026.
Al fin y al cabo, la mejor defensa contra el malware es descargar software directamente de desarrolladores de confianza o de la Mac App Store.
Mordida de seguridad es la inmersión profunda semanal de 9to5Mac en el mundo de la seguridad de Apple. Cada semana, Arin Waichulis analiza nuevas amenazas, preocupaciones sobre la privacidad, vulnerabilidades y más, dando forma a un ecosistema de más de 2 mil millones de dispositivos.
FSigue a Arin: Gorjeo/X, LinkedIn, Trapos
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
