分享

【安全圈】CryptoRom诈骗利用Apple Enterprise功能赚了140万美元

 板桥胡同37号 2021-10-19

关键词

苹果企业签名证书

图片

金字塔式加密货币诈骗者正在利用Apple的企业开发人员计划,将虚假交易应用程序安装到他们标记的iPhone上。到目前为止,一切都很顺利:截至目前,他们已经获得了至少140万美元的非法所得。

Sophos Labs实验室观察到该骗局在约会网站上四处传播。

研究人员在周三的帖子中说:“他们以约会游戏为手段与用户建立友谊,但随后迅速将目标转向金钱——他们会假装为你提供一个回报率超高的投资机会。”

该投资机会涉及加密货币交易,提供将资金投资于加密货币以获得巨额利润的提议。为了提供合法性的外衣,骗子提供了一个“官方”的iPhone应用程序,据称该应用程序得到了苹果的批准。

Sophos研究人员指出:“App Store,就像Google的Play Store等价于 Android 一样,对恶意软件、fleeceware和其他恶意软件应用程序丝毫没有免疫力。”“但基于完全虚假的交易平台的加密货币交易应用程序很少能成功。”

因此,根据Sophos的分析,他们的骗子利用了一个漏洞,允许企业移动设备管理(MDM)程序通过苹果的企业开发者计划(具体而言,即苹果企业/企业签名功能)控制企业拥有的iOS设备。

正如该公司在其报告中所解释的那样:“通过……MDM配置文件将员工设备注册到Apple的远程管理系统的公司……可以单方面或应要求远程擦除[devices],阻止对公司数据的访问,强制执行特定的安全设置,例如作为锁定代码和锁定超时......而且(这是骗子所追求的功能!)他们可以安装仅供员工使用的定制企业应用程序。”

骗子会说服通过约会网站培养的目标允许骗子将设备注册到“程序”,该程序实际上是与Apple平台兼容的MDM。然后安装所谓的与加密货币相关的应用程序,这是Bitfinex加密货币交易应用程序的伪造版本。

研究人员指出:“通过约会网站培养友谊,骗子们说服你,让他们对你的iPhone拥有与管理公司自有设备的公司一样的管理权。”

当然,这个应用程序毫无疑问充斥着谎言和痛苦。

Sophos表示:“它的背后没有交易平台;您的'投资’不会用于购买任何类型的加密货币,甚至不会用于购买不稳定的或任何鲜为人知的加密货币。”“应用程序报告的任何'交易’和'利润’都是虚构的;如果您被允许提取任何“利润”以建立信任,骗子只会退还您自己的一小部分钱;当你想兑现你的全部'投资’时,你会意识到这一切都是雾里看花。”

签名诈骗

根据Sophos的调查,该骗局的具体技术基础涉及Apple Enterprise Signature功能。

研究人员解释说:“苹果的企业签名程序可以使用企业签名档案和证书,在没有苹果应用商店审查的情况下分发应用程序。”“使用企业证书签名的应用程序应在组织内分发给员工或应用程序测试人员,而不应用于向消费者分发应用程序……因此应用程序不必提交给Apple App Store进行审查。”

在这些“加密-ROM”的案例中,苹果的企业资源调配系统是苹果平台上的一个致命弱点。使用mark的iOS被要求访问由骗子控制的站点,在该站点中将MDM配置文件下载到他们的设备。这是用企业证书签名的,有助于让用户相信一切都是Apple批准的。用户被要求信任该配置文件,然后服务器会提示用户从看起来像Apple App Store的页面安装虚假应用程序,该页面上还附有虚假评论。

Sophos指出,提供企业签名证书分发的第三方商业服务的兴起加剧了这种程序的滥用,其中很多不择手段的机构,他们拥有逃避应用商店审查的能力。

Sophos研究人员表示:“有几项商业服务销售Apple签名的应用程序,这些应用程序只需几百美元即可购买”“有不同版本的签名:稳定版本价格昂贵,不稳定版本更便宜。骗子可能更喜欢更便宜的版本,因为当旧签名被Apple注意到并阻止时,可以轻松地换成新签名。”

Sophos指出,苹果已经取缔了使用企业证书向消费者分发应用程序的行为,但诈骗者似乎正在转向更有针对性的诈骗,苹果可能更难发现。

研究人员指出:“为了降低这些针对外行iOS设备用户骗局的风险,Apple应该警告用户通过临时分发或通过企业配置系统安装应用程序,这些应用程序尚未经过Apple审查。”

   END  

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多