En les darreres setmanes, els analistes de seguretat han observat una nova onada d’atacs de macOS aprofitant certificats de validació ampliada (EV) emesos legítimament per signar imatges de disc malicioses (DMG).

Aquesta tècnica permet que els autors de programari maliciós evitin la detecció de VirusTotal i les comprovacions de seguretat de macOS integrades.

La campanya va aparèixer per primera vegada quan van aparèixer diverses mostres als canals d’intel·ligència d’amenaces, cadascuna amb una signatura d’aplicació d’identificació de desenvolupador vàlida.

Els atacants estan aprofitant l’alt cost i la rigorosa verificació dels certificats de vehicles elèctrics per donar un aire de legitimitat a les càrregues útils malicioses.

Sembla que les infeccions inicials es lliuren per via d’esquers de pesca, amb llocs web compromesos que allotgen els instal·ladors de DMG signats disfressats com a aplicacions legítimes.

Qui va dir què? (@g0njxa), un investigador ha assenyalat que l’abús dels certificats EV no es limita al programari maliciós de Windows, també està cada vegada més present a les amenaces de macOS.

Va identificar una novel·la signada DMG, totalment indetectable a VirusTotal, emesa amb l’identificador de desenvolupador «THOMAS BOULAY DUVAL (J97GLQ5KW9)».

La mostra (SHA256: a031ba8111ded0c11acfedea9ab83b4be8274584da71bcc88ff72e2d51957dd7) mostra un identificador de paquet que imita el nom del signant (p. ex., «thomas.parfums»), que és un intent de camuflatge deficient dintre de les distribucions de programari legítim.

Un cop informats, aquests certificats es revoquen, però abans de fer-ho habiliten un codi maliciós de baixa detectabilitat en les primeres etapes de la campanya.

Malgrat l’elevada barrera financera i de procediment per obtenir els certificats d’Apple EV, els actors de les amenaces sembla que estan disposats a invertir-hi, sabent que la revocació pot arribar massa tard per evitar el compromís inicial.

Això subratlla una tendència creixent: els adversaris intercanvien velocitat per legitimitat i aprofiten les cadenes de confiança establertes.

Mecanisme d’infecció

El mecanisme d’infecció principal comença amb un DMG signat que, quan es munta, executa un llançador AppleScript incrustat.

L’examen del binari Mach-O dins del DMG revela referències codificades en dur a un amfitrió de script remot.

Un cop s’executa, l’script es descarrega i executa una càrrega útil  ARM64 compilada que estableix la persistència escrivint una plist de LaunchAgent a ~/Library/LaunchAgents/com.thomas.parfums.agent.plist i es reinicia en iniciar sessió.

Aquest mètode evita les comprovacions de Gatekeeper basant-se en la signatura EV vàlida i evita activar exploracions MRT, cosa que dona lloc a un flux d’instal·lació totalment indetectable.