חוקרי Jamf Threat Labs חשפו נוזקת גניבת מידע חדשה ל- macOS בשם CrashStealer — ומה שהופך אותה למעניינת הוא לא מה שהיא גונבת, אלא איך היא נכנסת. הנוזקה אינה מנצלת אף פגיעות, אינה דורשת הרשאות root ואינה שוברת שום מנגנון הגנה של אפל. היא פשוט עוברת בדלת הראשית — כשהיא מחזיקה ביד אישור כניסה חתום כדין.
שרשרת ההדבקה מתחילה בקובץ דיסק בשם "Werkbit Setup", החתום ב- Developer ID תקף של אפל ונושא כרטיס נוטריזציה מאושר. המשמעות המעשית פשוטה: Gatekeeper — המנגנון שאמור לעצור הרצת תוכנה לא מזוהה — בודק את החתימה, מוצא אותה תקינה, ומאשר את ההפעלה. המשתמש לא רואה שום אזהרה, משום שמבחינת מערכת ההפעלה לא קרה כאן דבר חריג.
משם מתקדמת המתקפה בשלבים. הדרופר פונה ל- API של GitHub ומושך משם סקריפט מעורפל, שבתורו מוריד את המטען עצמו: אפליקציה המתחזה לרכיב דיווח הקריסות של macOS — אותו חלון מוכר שכל משתמש Mac ראה עשרות פעמים. השימוש ב- GitHub כתחנת ביניים הוא בחירה מחושבת: זו תעבורה לשירות לגיטימי ונפוץ, שאף מדיניות חסימה סבירה לא תעצור.
השלב הבא הוא הקלאסי וגם היעיל ביותר. הנוזקה מציגה חלון בקשת סיסמה שנראה בדיוק כמו בקשת ההרשאה המקורית של מערכת ההפעלה. המשתמש, שהרגע "התקין תוכנה", מקליד את סיסמת המערכת שלו. הנוזקה אף מאמתת את הסיסמה מול המערכת לפני שהיא ממשיכה — כדי לוודא שברשותה אישורים עובדים בלבד. עם הסיסמה ביד נפתחת ה- Keychain ומשם הדרך פתוחה: סיסמאות שמורות בדפדפנים, ארנקי מטבעות קריפטוגרפיים, נתונים ממנהלי סיסמאות ואישורי הזדהות.
הרמה הטכנית כאן גבוהה מהמקובל בקטגוריה. לפי החוקר Thijs Xhaflaire מ-Jamf, מה שמבדיל את CrashStealer מנוזקות מדף הוא ההצפנה בצד הלקוח (AES-GCM) של הקבצים הנאספים, לצד דגש על עמידות לניתוח באמצעות control-flow flattening. כלומר: גם המידע הגנוב מוצפן לפני שהוא יוצא החוצה וגם הקוד עצמו נבנה מראש כדי לעכב חוקרי אבטחה. קיימת חפיפה מסוימת למשפחות מוכרות כמו Atomic (AMOS) ו- MacSync, אך המימוש ב- C++ נייטיב וההצפנה בצד הלקוח מסמנים אותה כמשפחה נפרדת.
הסיכון — ומה שהוא מלמד על הארגון שלכם
שתי הנחות נפוצות נשברות כאן בבת אחת.
הראשונה: "חתום ומאושר = בטוח". חתימה דיגיטלית מעידה שמישהו נרשם כמפתח ושילם דמי חבר — לא אומר בהכרח שהתוכנה שלו לגיטימית. תוקף שרוכש או גונב זהות מפתח מחזיק בפועל במפתח מאסטר לכל בדיקת אמון אוטומטית שהמערכת מבצעת.
השנייה, המסוכנת יותר: "מק לא נדבק". במחלקות עיצוב, פיתוח, שיווק והנהלה — בדיוק שם יושבים ה- Mac-ים — יושב גם המידע הרגיש ביותר ולא פעם ללא כיסוי הגנתי אמיתי.
והתוצאה איננה "מחשב אחד נגוע". סיסמאות שנגנבות מה-Keychain ומהדפדפן הן כרטיס הכניסה לחשבונות הענן, לתיבות הדוא"ל ולמערכות הארגוניות. כך אירוע בתחנת קצה בודדת הופך תוך שעות לאירוע ארגוני רוחבי.
איך 010 מטפלת בזה
מודעות עובדים לסייבר — נקודת ההכרעה כאן אנושית לחלוטין: הקלדת סיסמת המערכת בחלון שביקש אותה. עובד שמאומן לזהות שבקשת סיסמה בעקבות התקנה שהגיעה מקישור חיצוני היא דגל אדום — עוצר את השרשרת לפני שהתחילה.
SIEM/SOC — כאשר ההגנה מבוססת-החתימה עיוורת מעצם הגדרתה, מה שנותר הוא זיהוי התנהגותי. אפליקציה שרצה מתיקייה זמנית מוסתרת, רכיב הפעלה אוטומטי חדש שמתחזה לרכיב של אפל, תהליך שמאמת סיסמת מערכת ומיד ניגש ל- Keychain — כל אלה חריגות שמזוהות בניטור רציף בזמן אמת.
סקר סיכונים — ההזדמנות לענות על שאלה פשוטה שלארגונים רבים אין עליה תשובה: כמה תחנות Mac יש אצלנו ומי מגן עליהן בפועל.
מניעת דלף מידע (DLP) — המטרה הסופית של הנוזקה היא הוצאת מידע החוצה. בקרת דלף מזהה ובולמת את הזרימה גם כשההדבקה כבר התרחשה.