Investigadores de ciberseguridad han descubierto una nueva variante de un ladrón de información de macOS llamado MacSincronización que se entrega mediante una aplicación Swift certificada y firmada digitalmente que se hace pasar por un instalador de aplicaciones de mensajería para evitar los controles Gatekeeper de Apple.
«A diferencia de las variantes anteriores de MacSync Stealer que se basan principalmente en arrastrar al terminal o Hacer clic en arreglartécnicas de estilo, esta muestra adopta un enfoque más engañoso y de no intervención», dijo el investigador de Jamf Thijs Xhaflaire. dicho.
La empresa de seguridad y administración de dispositivos Apple dijo que la última versión se distribuye como una aplicación Swift firmada con código y certificada ante notario dentro de un archivo de imagen de disco (DMG) llamado «zk-call-messenger-installer-3.9.2-lts.dmg» que está alojado en «zkcall».[.]red/descarga.»
El hecho de que esté firmado y certificado ante notario significa que se puede ejecutar sin ser bloqueado o marcado por controles de seguridad integrados como Gatekeeper o XProtect. A pesar de esto, se ha descubierto que el instalador muestra instrucciones que solicitan a los usuarios hacer clic derecho y abrir la aplicación, una táctica común utilizada para eludir tales salvaguardas. Desde entonces, Apple revocó el certificado de firma de código.
Luego, el cuentagotas basado en Swift realiza una serie de comprobaciones antes de descargar y ejecutar un script codificado a través de un componente auxiliar. Esto incluye verificar la conectividad a Internet, imponer un intervalo de ejecución mínimo de alrededor de 3600 segundos para aplicar un límite de velocidad, eliminar atributos de cuarentena y validar el archivo antes de la ejecución.
«En particular, el comando curl utilizado para recuperar la carga útil muestra claras desviaciones de variantes anteriores», explicó Xhaflaire. «En lugar de utilizar la combinación -fsSL comúnmente vista, las banderas se han dividido en -fL y -sS, y se han introducido opciones adicionales como –noproxy».
«Estos cambios, junto con el uso de variables pobladas dinámicamente, apuntan a un cambio deliberado en la forma en que se recupera y valida la carga útil, probablemente destinado a mejorar la confiabilidad o evadir la detección».
Otro mecanismo de evasión utilizado en la campaña es el uso de un archivo DMG inusualmente grande, inflando su tamaño a 25,5 MB incrustando documentos PDF no relacionados.
La carga útil codificada en Base64, una vez analizada, corresponde a MacSincronizaciónuna versión renombrada de Mac.c que surgió por primera vez en abril de 2025. MacSync, según Moonlock Lab de MacPaw, viene equipado con un agente basado en Go con todas las funciones que va más allá del simple robo de datos y permite capacidades de comando y control remotos.
Vale la pena señalar que también se han observado versiones firmadas con código de archivos DMG maliciosos que imitan a Google Meet en ataques que propagan otros ladrones de macOS como Odisea. Dicho esto, los actores de amenazas han seguido dependiendo de imágenes de disco sin firmar para entregar Ladrón de dígitos tan recientemente como el mes pasado.
«Este cambio en la distribución refleja una tendencia más amplia en todo el panorama del malware macOS, donde los atacantes intentan cada vez más introducir su malware en ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas», dijo Jamf.
Fuente