9to5Mac Security Bite es presentado exclusivamente por Mosyle, la única plataforma unificada de Apple. Todo lo que hacemos es hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva con el MDM de Apple más potente y avanzado del mercado. El resultado es una plataforma Apple unificada y totalmente automatizada en la que ahora confían más de 45.000 organizaciones para preparar millones de dispositivos Apple para su funcionamiento sin esfuerzo y de forma asequible. Solicita tu PRUEBA EXTENDIDA hoy y descubre por qué Mosyle es todo lo que necesitas para trabajar con Apple.
La semana pasada, Jamf Threat Labs publicó una investigación sobre otra variante de la cada vez más popular familia MacSync Stealer, llamando la atención sobre un creciente problema de seguridad de macOS: el malware que elude las protecciones de aplicaciones de terceros más importantes de Apple. Esta nueva variante se distribuyó dentro de una aplicación maliciosa que estaba firmada con un código con una identificación de desarrollador válida y certificada ante notario por Apple, lo que significaba que Gatekeeper no tenía motivos para bloquear su lanzamiento.
Históricamente, el modelo de Apple ha funcionado bastante bien. Las aplicaciones distribuidas fuera de la Mac App Store deben estar firmadas criptográficamente y certificadas ante notario para poder abrirse sin que los usuarios pasen por muchos obstáculos. Pero este modelo de confianza supone que firmar demuestra tener buenas intenciones. Lo que estamos viendo ahora es que los atacantes obtienen certificados de desarrollador reales y envían malware que parece indistinguible del software legítimo durante la instalación.
Después de hablar con varias personas familiarizadas con el asunto, hay varias formas en que los actores de amenazas lo hacen. En muchos casos, utilizan una combinación de lo siguiente:
Las aplicaciones maliciosas firmadas y certificadas ante notario pueden funcionar con certificados de identificación de desarrollador que han sido comprometidos o incluso comprados a través de canales clandestinos, lo que reduce en gran medida las sospechas. Como vimos en el informe de Jamf sobre una nueva variante de MacSync Stealer, el binario inicial es a menudo un ejecutable relativamente simple basado en Swift que parece benigno durante el análisis estático de Apple y hace poco por sí solo.
El verdadero comportamiento malicioso ocurre más tarde, cuando la aplicación llega a una infraestructura remota para extraer cargas útiles adicionales. Si estas cargas útiles no están disponibles durante la certificación notarial y sólo se activan en condiciones de ejecución del mundo real, los escáneres de Apple no tienen nada malicioso que analizar. El proceso de certificación notarial evalúa lo que existe en el momento del envío, no lo que la aplicación puede recuperar después del lanzamiento, y los atacantes obviamente diseñan alrededor de este límite.
El primer caso de malware de Apple certificado ante notario se remonta al menos a 2020 y fue descubierto por un usuario de Twitter. A principios de julio, hubo otro caso de una aplicación maliciosa similar que fue firmada y certificada ante notario por Apple. Ahora bien, ¿ha llegado esto al punto de ebullición? Probablemente no. Por un lado, estoy de acuerdo en que incluso un solo caso de esto es demasiado.
Por otro lado, creo que es demasiado fácil culpar a Apple. El sistema funciona en gran medida según lo diseñado. La firma de código y la certificación notarial nunca tuvieron como objetivo garantizar que el software sea benigno para siempre, solo que se pueda rastrear hasta un desarrollador real y revocarlo cuando se descubra un abuso.
Este es un vector de ataque intrigante y continuaré monitoreándolo hasta 2026.
En última instancia, la mejor protección contra el malware es descargar software directamente de desarrolladores de su confianza o de la Mac App Store.
Security Bite es la inmersión profunda semanal de 9to5Mac en el mundo de la seguridad de Apple. Cada semana, Arin Waichulis analiza nuevas amenazas, problemas de privacidad, vulnerabilidades y más, dando forma a un ecosistema de más de 2 mil millones de dispositivos.
Bienolvídate de: Gorjeo/XLinkedIn, Temas
FTC: utilizamos enlaces de afiliados automáticos que generan ingresos. más.
