Mosyle identyfikuje nowe złośliwe oprogramowanie Mac

To spore ostrzeżenie! Mosyle, lider w zarządzaniu i bezpieczeństwie urządzeń Apple, ujawnił na wyłączność serwisowi 9to5Mac szczegóły dotyczące nowego szczepu złośliwego systemu dla komputerów Mac, nazwanego „JSCoreRunner”.

Zagrożenie zero-day omijało wszystkie wykrycia na VirusTotal w momencie odkrycia, rozprzestrzeniając się przez złośliwą stronę konwersji PDF o nazwie fileripple[.]com, aby nakłonić użytkowników do pobrania czegoś, co wydaje się być nieszkodliwym narzędziem.

Oto najważniejsze fakty o nowym malware JSCoreRunner, które ujawnił Mosyle.

Co to jest?

• Nowe złośliwe oprogramowanie dla macOS, sklasyfikowane jako Trojan/Adware.
• Rozpowszechniane przez fałszywą stronę konwersji plików PDF – fileripple[.]com.
• W momencie odkrycia miało zero detekcji w VirusTotal (czyli żaden silnik AV go nie wykrywał).

Jak to działa?

1. Pierwszy etap (FileRipple.pkg)
   • Podszywa się pod narzędzie do konwersji PDF.
   • Tworzy fałszywe okno z „działającym” programem, podczas gdy w tle odpala szkodliwy kod.
   • Podpis cyfrowy został cofnięty przez Apple → macOS już blokuje ten pakiet.
2. Drugi etap (Safari14.1.2MojaveAuto.pkg)
   • Niepodpisany pakiet, więc Gatekeeper go nie blokuje z automatu.
   • Pobierany z tej samej domeny.
   • Odpowiada za faktyczne zainfekowanie systemu.
3. Działanie malware
   • Kontaktuje się z serwerem C2.
   • Usuwa atrybut „quarantine” → macOS nie ostrzega przy uruchomieniu.
   • Wstrzykuje się w profil Chrome (~/Library/Application Support/Google/Chrome/).
   • Tworzy nowe ustawienia wyszukiwarki i przekierowuje zapytania do fałszywego engine’u.
   • Może prowadzić do keyloggowania, phishingu, kradzieży danych i pieniędzy.

Co robić, żeby się chronić?

• Nie pobierać narzędzi z przypadkowych stron (szczególnie „free file converters”).
• Sprawdzać podpis cyfrowy aplikacji przed instalacją.
• Aktualizować macOS – Apple często blokuje złośliwe certyfikaty.
• W przeglądarce Chrome sprawdzić ustawienia wyszukiwarek – czy nie ma podejrzanych wpisów.
• W razie podejrzeń usunąć pliki .pkg i sprawdzić ~/Library/Application Support/Google/Chrome/.

Checklista bezpieczeństwa dla Twojego Maca

1. Sprawdź podejrzane pliki instalacyjne
   • <Otwórz Finder → Aplikacje → Pobrane.
   • Szukaj plików .pkg z nazwami: FileRipple.pkg, Safari14.1.2MojaveAuto.pkg
   • Usuń je, jeżeli są obecne.
2. Zweryfikuj certyfikaty i Gatekeeper
   • Otwórz Preferencje systemowe → Bezpieczeństwo i prywatność → Ogólne.
   • Sprawdź, czy nie ma ostrzeżeń o aplikacjach od niezweryfikowanych deweloperów.
   • Usuń wszelkie aplikacje, które są niepodpisane lub odwrócone przez Apple.
3. Przejrzyj profile przeglądarki Chrome
   • Wejdź w katalog: ~/Library/Application Support/Google/Chrome/
   • Sprawdź wszystkie foldery profili (domyślny i dodatkowe).
   • Otwórz plik Preferences (tekstowy) i wyszukaj podejrzane wpisy w: search_engine oraz TemplateURL
   • Usuń wszelkie nietypowe, nieznane adresy wyszukiwarki.
4. Sprawdź procesy systemowe
   • Uruchom Monitor aktywności (Activity Monitor).
   • Szukaj procesów działających w tle, które nie pasują do znanych aplikacji.
   • Jeśli znajdziesz coś podejrzanego → zakończ proces i zanotuj nazwę.
5. Weryfikacja sieci i połączeń
   • Sprawdź aktywne połączenia sieciowe – wejdź w Terminal i uruchom komendę: lsof -iTCP -sTCP:ESTABLISHED
   • Poszukaj połączeń do nieznanych serwerów (JSCoreRunner kontaktuje się z serwerem C2).
6. Aktualizacja i czyszczenie
   • Zaktualizuj macOS do najnowszej wersji.
   • Zaktualizuj Chrome i wszystkie wtyczki.
   • Usuń pliki tymczasowe i cache (przez Finder → Idź → Idź do folderu → ~/Library/Caches/).

Jeśli artykuł Mosyle identyfikuje nowe złośliwe oprogramowanie Mac nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.