GhostClaw kradnie hasła, klucze i włamuje się do iMessage. Wystarczy twój błąd

Nowe zagrożenie dla użytkowników macOS nie wykorzystuje luk w systemie - wykorzystuje… przyzwyczajenia.

GhostClaw to malware, który pokazuje, jak łatwo można zamienić codzienną pracę z GitHubem w furtkę do kradzieży danych.

Badacze bezpieczeństwa alarmują o nowej kampanii malware o nazwie GhostClaw, która rozprzestrzenia się poprzez repozytoria GitHuba i narzędzia deweloperskie. W przeciwieństwie do klasycznych ataków nie bazuje ona na exploitach czy błędach systemowych - jej siłą jest wykorzystanie rutynowych zachowań użytkowników.

Schemat działania jest zaskakująco prosty. Zainfekowane projekty wyglądają jak w pełni legalne narzędzia - mogą to być SDK, aplikacje tradingowe czy różnego rodzaju utility dla programistów. Często przez dłuższy czas budują wiarygodność, zanim zostaną zmodyfikowane i zaczną zawierać złośliwe instrukcje instalacyjne.

Kluczowy moment następuje podczas instalacji. Użytkownik, podążając za instrukcją z README, uruchamia komendę, która pobiera i wykonuje zewnętrzny skrypt. Problem w tym, że takie zachowanie jest dziś całkowicie normalne - dokładnie tak działa wiele legalnych instalatorów. W efekcie malware nie wzbudza podejrzeń i działa w ramach uprawnień nadanych przez samego użytkownika.

GhostClaw pokazuje więc nową rzeczywistość cyberbezpieczeństwa. Największym wektorem ataku nie jest już luka w systemie, lecz zaufanie do narzędzi, z których korzystamy codziennie. A to sprawia, że zagrożenie jest znacznie trudniejsze do zauważenia - nawet dla doświadczonych użytkowników.