{"id":115654,"date":"2025-12-24T11:17:08","date_gmt":"2025-12-24T11:17:08","guid":{"rendered":"https:\/\/www.europesays.com\/se\/115654\/"},"modified":"2025-12-24T11:17:08","modified_gmt":"2025-12-24T11:17:08","slug":"skadlig-kod-tog-sig-forbi-mac-os-gatekeeper-genom-att-missbruka-apples-notariseringsprocess","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/se\/115654\/","title":{"rendered":"Skadlig kod tog sig f\u00f6rbi Mac OS Gatekeeper genom att missbruka Apples notariseringsprocess"},"content":{"rendered":"

Det \u00e4r s\u00e4kerhetsforskarna p\u00e5 Jamf Threat Labs<\/a> som slagit larm om den nya attackmetoden. I st\u00e4llet f\u00f6r att f\u00f6rs\u00f6ka lura anv\u00e4ndaren att manuellt kringg\u00e5 Gatekeeper, till exempel genom Terminal-kommandon eller h\u00f6gerklick och \u201d\u00d6ppna\u201d, anv\u00e4nder angriparna nu en betydligt enklare v\u00e4g.<\/p>\n

Den nya versionen levereras som en Swift-baserad applikation som \u00e4r b\u00e5de kodsignerad och notariserad av Apple. Anv\u00e4ndaren uppmanas att ladda ned och starta ett installationsprogram f\u00f6r en p\u00e5st\u00e5dd app med namnet \u201dzk-Call & Messenger\u201d.<\/p>\n

Eftersom programmet \u00e4r korrekt signerat r\u00e4cker det att dubbelklicka p\u00e5 det, Gatekeeper ingriper inte. Vid en f\u00f6rsta granskning ser installationsprogrammet legitimt ut och \u00e4r dessutom ovanligt stort, omkring 25,5 MB, trots att sj\u00e4lva skriptet bakom attacken \u00e4r litet. Enligt Jamf har filen fyllts ut med extra inneh\u00e5ll, bland annat pdf-filer, f\u00f6r att ge intryck av att vara ett seri\u00f6st installationspaket.<\/p>\n

Sj\u00e4lva skadeprogrammet finns dock inte med i appen. N\u00e4r installationsprogrammet k\u00f6rs h\u00e4mtar det i st\u00e4llet en sekund\u00e4r nyttolast fr\u00e5n en extern server, d\u00e4r MacSync Stealer laddas ned och installeras i n\u00e4sta steg.<\/p>\n

Analysen visar att attacken fortfarande bygger p\u00e5 en klassisk \u201ddropper\u201d-modell, med m\u00e5nga av de k\u00e4nnetecken som tidigare versioner av MacSync Stealer haft. Skillnaden \u00e4r att den f\u00f6rsta fasen nu passerar Gatekeeper helt obehindrat tack vare notariseringsst\u00e4mpeln.<\/p>\n

Jamf menar att detta \u00e4r ytterligare ett exempel p\u00e5 hur malware-utvecklare f\u00f6rfinar sina distributionsmetoder f\u00f6r att maximera spridningen. Att kombinera Swift, kodsignering, notariserad app och ett externt andra steg \u00e4r n\u00e5got f\u00f6retaget inte sett tidigare i just den h\u00e4r formen.<\/p>\n

Liknande problem har f\u00f6rekommit f\u00f6rr. Redan 2020 uppt\u00e4cktes fall d\u00e4r skadlig kod lyckats bli notariserad av Apple, eftersom den g\u00f6mts p\u00e5 s\u00e4tt som inte f\u00e5ngades upp i kontrollprocessen. Den avg\u00f6rande skillnaden nu \u00e4r att den notariserade appen inte inneh\u00e5ller skadlig kod alls, utan h\u00e4mtar den f\u00f6rst efter att Apples kontroller passerats, vilket g\u00f6r uppt\u00e4ckt betydligt sv\u00e5rare.<\/p>\n

Jamf uppger att de har rapporterat det aktuella utvecklar-ID:t till Apple, och att certifikatet bakom appen nu har \u00e5terkallats. D\u00e4remot ingick inte alla tillh\u00f6rande kodhashar i sp\u00e4rrlistan vid tidpunkten f\u00f6r rapporten.<\/p>\n

F\u00f6r vanliga Mac-anv\u00e4ndare g\u00e4ller samma grundregler som alltid: var noga med varifr\u00e5n du laddar ned program, installera bara mjukvara fr\u00e5n betrodda utvecklare eller via Mac App Store, och var skeptisk \u00e4ven till appar som vid f\u00f6rsta anblick ser \u201dgodk\u00e4nda\u201d ut. Notarisering \u00e4r ett viktigt skydd, men som det h\u00e4r fallet visar \u00e4r det inget absolut skydd mot avancerade attacker.<\/p>\n","protected":false},"excerpt":{"rendered":"Det \u00e4r s\u00e4kerhetsforskarna p\u00e5 Jamf Threat Labs som slagit larm om den nya attackmetoden. I st\u00e4llet f\u00f6r att…\n","protected":false},"author":2,"featured_media":115655,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[66],"tags":[80,78,79,34,31,33,32,30,81,84,83,82],"class_list":{"0":"post-115654","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-vetenskap-och-teknik","8":"tag-science","9":"tag-science-and-technology","10":"tag-scienceandtechnology","11":"tag-se","12":"tag-svenska","13":"tag-sverige","14":"tag-sweden","15":"tag-swedish","16":"tag-technology","17":"tag-teknik","18":"tag-vetenskap","19":"tag-vetenskapteknik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@se\/115774268682825937","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/posts\/115654","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/comments?post=115654"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/posts\/115654\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/media\/115655"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/media?parent=115654"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/categories?post=115654"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/tags?post=115654"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}