9to5Mac Security Bite presentado exclusivamente por Mosyle, la única plataforma unificada de Apple. Hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa es todo lo que hacemos. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad específicas de Apple líderes en la industria para un refuerzo y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y gestión de privilegios patentados con el MDM de Apple más potente y moderno del mercado. El resultado es una plataforma unificada de Apple totalmente automatizada, utilizada actualmente por más de 45.000 organizaciones para preparar millones de dispositivos Apple para funcionar sin esfuerzo y de forma asequible. Solicita tu PRUEBA EXTENDIDA hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
La semana pasada, Jamf Threat Labs publicó un estudio sobre otra variante de la cada vez más popular familia MacSync Stealer, llamando la atención sobre un problema creciente en la seguridad de macOS: el malware que se cuela en las protecciones de aplicaciones de terceros más importantes de Apple. Esta nueva variante se distribuyó en una aplicación maliciosa que estaba firmada con un código con una identificación de desarrollador válida y certificada ante notario por Apple, lo que significa que Gatekeeper no tenía motivos para bloquear su lanzamiento.
Históricamente, el modelo de Apple ha funcionado bastante bien. Las aplicaciones distribuidas fuera de la Mac App Store deben estar firmadas criptográficamente y certificadas ante notario para poder abrirse sin que los usuarios pasen por muchos obstáculos. Pero este modelo de confianza supone que la firma demuestra buena intención. Lo que estamos viendo ahora es que los atacantes obtienen certificados de desarrollador reales y propagan malware que parece indistinguible del software legítimo en el momento de la instalación.
Después de hablar con varias personas familiarizadas con el tema, los malos actores tienen varias formas de lograrlo. En muchos casos, utilizan una combinación de lo siguiente:
Las aplicaciones maliciosas firmadas y certificadas por notario podrían ejecutarse con certificados de identificación de desarrollador comprometidos o incluso comprarse a través de canales clandestinos, lo que reduciría significativamente las sospechas. Como vimos en el informe de Jamf sobre un nueva variante de MacSync StealerEl binario inicial suele ser un ejecutable relativamente simple basado en Swift que parece inofensivo durante el análisis estático de Apple y no hace mucho por sí solo.
El verdadero comportamiento malicioso ocurre más tarde, cuando la aplicación llega a una infraestructura remota para recuperar cargas útiles adicionales. Si estas cargas útiles no están disponibles durante la certificación notarial y sólo se activan en condiciones de ejecución del mundo real, los escáneres de Apple no tienen nada malicioso que analizar. El proceso de certificación notarial evalúa lo que existe en el momento del envío, no lo que una aplicación puede recuperar después del lanzamiento, y los atacantes claramente diseñan alrededor de este límite.
El primer caso de malware notariado por Apple se remonta al menos a 2020, descubierto por un Usuario de Twitter. A principios de julio, hubo otro caso de una aplicación maliciosa similar firmada y certificada ante notario por Apple. Ahora bien, ¿ha llegado esto al punto de ebullición? Probablemente no. Por un lado, reconozco que incluso un solo caso así es demasiado.
Por otro lado, creo que es demasiado fácil culpar a Apple. El sistema funciona en gran medida como se esperaba. La firma de código y la certificación notarial nunca tuvieron como objetivo garantizar que el software sea inofensivo para siempre, solo que se pueda rastrear hasta un verdadero desarrollador y revocarlo cuando se descubra un abuso.
Este es un vector de ataque intrigante que continuaré siguiendo hasta 2026.
En última instancia, la mejor defensa contra el malware es descargar software directamente de desarrolladores de su confianza o de la Mac App Store.
Security Bite es la inmersión profunda semanal de 9to5Mac en el mundo de la seguridad de Apple. Cada semana, Arin Waichulis descubre nuevas amenazas, problemas de privacidad, vulnerabilidades y más, dando forma a un ecosistema de más de 2 mil millones de dispositivos.
