Gatekeeper, son dönemde kurnazca hazırlanmış saldırıların hedefinde
Jamf Threat Labs tarafından tespit edilen yeni MacSync Stealer varyantı, Apple’ın onay sürecini elini kolunu sallayarak geçmeyi başardı.
Kaynak:Donanım Günlüğü
Apple dünyasında işler genelde sıkı tutulur. Ancak saldırganlar son dönemde şirketin güvenlik mekanizmalarını aşmanın yolunu bulmuş görünüyor. Jamf Threat Labs’in raporuna göre geçerli bir Geliştirici Kimliği ile imzalanmış ve bizzat teknoloji devi tarafından onay almış zararlı uygulamalar, Gatekeeper engeline takılmıyor. Yani bilgisayara kurulan uygulama kağıt üzerinde oldukça masum duruyor. Ama buzdağının görünmeyen kısmı çok farklı.
Malware ilk etapta basit ve zararsız bir Swift dosyası gibi davranarak statik analiz taramalarını atlatıyor. Asıl film uygulama yüklendikten sonra kopuyor. Çünkü yazılım uzaktaki bir sunucuya bağlanıp asıl zararlı yükü sonradan indiriyor. Haliyle Apple’ın kontrol sistemi o an orada olmayan bir tehdidi göremediği için çaresiz kalıyor.
Bu taktik aslında yeni değil, 2020’den beri ufak tefek denemelerle kendini gösteriyordu. Fakat iş giderek ciddileşti. Yine de faturayı tamamen Apple’a kesmek haksızlık olabilir. Sistemin asıl olayı, yazılımın sonsuza dek temiz kalacağına kefil olmak değil; işler sarpa sardığında ipin ucunu tutan geliştiriciyi bulup fişini çekebilmek. Saldırganlar ise bu gri alanı tepe tepe kullanıyor.