Firma Mosyle, specjalizująca się w zarządzaniu i zabezpieczaniu ekosystemu Apple, zidentyfikowała dwa nowe złośliwe programy atakujące system macOS.
Phoenix Worm oraz ShadeStager omijają tradycyjne silniki antywirusowe i pokazują wyraźny trend: hakerzy zamiast na szybki zysk, stawiają na cichą infiltrację i kradzież wrażliwych poświadczeń chmurowych.
Według najnowszego raportu udostępnionego serwisowi 9to5Mac, ataki na system Apple ewoluują. Twórcy złośliwego systemu odchodzą od głośnych ataków na rzecz budowania trwałych przyczółków w systemie. Dwa nowo odkryte narzędzia idealnie wpisują się w tę taktykę, chociaż analitycy zaznaczają, iż nie są one ze sobą bezpośrednio powiązane.
Phoenix Worm, czyli niewidzialny przyczółek
Pierwsze z zagrożeń, Phoenix Worm, zostało napisane w języku Go i jest oprogramowaniem wieloplatformowym. Działa jako tak zwany „stager”. Jego zadaniem nie jest bezpośrednia kradzież danych, ale ciche wniknięcie do systemu ofiary i nawiązanie bezpiecznego połączenia z serwerem hakerów (C2).
Program generuje unikalne identyfikatory dla zainfekowanych maszyn, przesyła podstawowe dane o systemie i cierpliwie czeka na instrukcje, przygotowując grunt pod pobranie bardziej zaawansowanego złośliwego kodu. W momencie publikacji analizy żaden z popularnych silników antywirusowych nie wykrywał wariantów tego kodu przeznaczonych dla systemów macOS oraz Linux.
ShadeStager na polowaniu w chmurze
Drugim odkryciem jest ShadeStager – modułowy implant stworzony stricte do etapu wyciągania danych z już zainfekowanych maszyn. Co ważne, narzędzie to ma na celowniku przede wszystkim środowiska deweloperskie i infrastrukturę chmurową. Złośliwy kod aktywnie poszukuje:
- Kluczy SSH i listy znanych hostów,
- Poświadczeń do usług chmurowych AWS, Azure oraz GCP,
- Plików konfiguracyjnych środowiska Kubernetes,
- Danych uwierzytelniających dla platform Git i Docker,
- Kompletnych profili użytkowników z popularnych przeglądarek internetowych.
Program zbiera również szczegółowe dane o sprzęcie, konfiguracji sieci i przyznanych uprawnieniach. Wszystko jest następnie eksfiltrowane za pośrednictwem protokołu HTTPS. Badacze z Mosyle zauważyli jednak, iż kod ShadeStagera nie miał na sztywno przypisanego adresu serwera C2, a część jego struktury była zaskakująco czytelna. To mocno sugeruje, iż przechwycona próbka znajdowała się jeszcze w fazie aktywnego rozwoju.
Bazy sygnatur odchodzą do lamusa
Odkrycie obu narzędzi uwypukla istotny problem współczesnego bezpieczeństwa w środowisku macOS. Twórcy malware’u piszą kod w Go i Ruście, by łatwo atakować różne systemy operacyjne. Rozdzielają ataki na mniejsze moduły i dynamicznie zarządzają swoją infrastrukturą.
Dla użytkowników i administratorów płynie z tego jeden wniosek: poleganie wyłącznie na tradycyjnych antywirusach, które skanują pliki w oparciu o znane bazy sygnatur, to w tej chwili zdecydowanie za mało. Ochrona nowoczesnych środowisk pracy, szczególnie programistycznych, wymaga narzędzi analizujących zachowanie procesów w czasie rzeczywistym.
Jak naprawdę dbać o baterię w MacBooku w czasach macOS 26 Tahoe
Jeśli artykuł Dwa nowe zagrożenia dla macOS. Tradycyjne antywirusy są wobec nich całkowicie bezradne nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.