Investigadores de ciberseguridad han descubierto una nueva variante del ladrón de información de macOS llamado MacSync, que se entrega mediante aplicaciones Swift firmadas digitalmente y certificadas por notario disfrazadas de instaladores de aplicaciones de mensajería que eluden los controles Gatekeeper de Apple.
«A diferencia de las variantes anteriores de MacSync Stealer que se basan principalmente en el arrastre del dispositivo y en técnicas de estilo ClickFix, esta muestra adopta un enfoque más engañoso y artificial», dijo el investigador de Jamf Thijs Xhaflaire.
La última versión se distribuye como una aplicación Swift firmada con código y certificada ante notario en un archivo de imagen de disco (DMG) llamado zk-call-messenger-installer-3.9.2-lts.dmg alojado en zkcall(.)net/download, dijo la compañía de seguridad y administración de dispositivos de Apple.
El hecho de que esté firmado y certificado ante notario significa que puede ejecutarse sin ser bloqueado o señalado por controles de seguridad integrados como Gatekeeper y XProtect. Sin embargo, se ha descubierto que el instalador solicita a los usuarios que hagan clic derecho y abran la aplicación. Esta es una táctica común utilizada para eludir tales salvaguardias. Posteriormente, Apple revocó el certificado de firma de código.
Luego, el cuentagotas basado en Swift realiza una serie de comprobaciones antes de descargar y ejecutar el script codificado a través del componente auxiliar. Esto incluye validar la conectividad a Internet, imponer un intervalo de ejecución mínimo de aproximadamente 3600 segundos para aplicar límites de velocidad, eliminar atributos de cuarentena y validar archivos antes de la ejecución.
«En particular, el comando curl utilizado para recuperar la carga útil muestra una clara desviación de las variantes anteriores», explicó Xhaflaire. «En lugar de utilizar la combinación -fsSL comúnmente vista, las banderas se han dividido en -fL y -sS, y se han introducido opciones adicionales como –noproxy».
«Estos cambios, junto con el uso de variables establecidas dinámicamente, indican cambios intencionales en el método de recuperación y validación de la carga útil, posiblemente destinados a mejorar la confiabilidad o evadir la detección».
Otro mecanismo de evasión utilizado en esta campaña es el uso de archivos DMG inusualmente grandes, que aumentan de tamaño a 25,5 MB al incrustar documentos PDF no relacionados.
Una vez analizada, la carga útil codificada en Base64 corresponde a MacSync, una versión renombrada de Mac.c que apareció por primera vez en abril de 2025. Según Moonlock Lab de MacPaw, MacSync incluye un agente basado en Go con todas las funciones que va más allá del simple robo de datos y permite capacidades de comando y control remotos.
Tenga en cuenta que también se han observado versiones firmadas con código de archivos DMG maliciosos que imitan a Google Meet en ataques que propagan otros ladrones de macOS como Odyssey. Sin embargo, tan recientemente como el mes pasado, los atacantes continuaron confiando en imágenes de disco sin firmar para entregar DigitStealer.
«Este cambio en la distribución refleja una tendencia más amplia en todo el panorama del malware macOS, donde los atacantes intentan cada vez más introducir malware en archivos ejecutables firmados y notariados que parecen ser aplicaciones legítimas», dijo Jamf.
Source link
