Los investigadores de ciberseguridad han descubierto una nueva variante de un ladrón de información de macOS llamado Mac Sync que se entrega mediante una aplicación Swift firmada digitalmente y certificada ante notario que se hace pasar por un instalador de aplicaciones de mensajería para eludir las comprobaciones de Gatekeeper de Apple.
«A diferencia de las variantes anteriores de MacSync Stealer, que se basaban principalmente en arrastrar a la terminal o Haga clic en Fijar Al estilo de las técnicas, esta muestra adopta un enfoque más engañoso y sin intervención», dijo Thijs Xhaflaire, investigador de Jamf dijo .
La empresa de administración de dispositivos y empresa de seguridad Apple dijo que la última versión se distribuye como una aplicación Swift firmada por código y certificada ante notario dentro de un archivo de imagen de disco (DMG) llamado «zk-call-messenger-installer-3.9.2-lts.dmg» que está alojado en «zkcall [.] net/download».
El hecho de que esté firmado y certificado ante notario significa que se puede ejecutar sin que los controles de seguridad integrados, como Gatekeeper o XProtect, lo bloqueen o marquen. A pesar de ello, se ha descubierto que el instalador muestra instrucciones que instan a los usuarios a hacer clic con el botón derecho del ratón y abrir la aplicación, una táctica habitual que se utiliza para eludir estas medidas de seguridad. Desde entonces, Apple ha revocado el certificado de firma del código.
A continuación, el dropper basado en Swift realiza una serie de comprobaciones antes de descargar y ejecutar un script codificado a través de un componente auxiliar. Esto incluye verificar la conectividad a Internet, establecer un intervalo mínimo de ejecución de unos 3600 segundos para establecer un límite de velocidad, eliminar los atributos de cuarentena y validar el archivo antes de ejecutarlo.
«Cabe destacar que el comando curl utilizado para recuperar la carga útil muestra claras desviaciones con respecto a las variantes anteriores», explica Xhaflaire. «En lugar de utilizar la combinación -fSSL más común, las banderas se han dividido en -fL y -sS, y se han introducido opciones adicionales como --noproxy».
«Estos cambios, junto con el uso de variables pobladas dinámicamente, apuntan a un cambio deliberado en la forma en que se obtiene y valida la carga útil, probablemente con el objetivo de mejorar la confiabilidad o evitar la detección».
Otro mecanismo de evasión utilizado en la campaña es el uso de un archivo DMG inusualmente grande, que aumenta su tamaño a 25,5 MB al incrustar documentos PDF no relacionados.
La carga útil codificada en Base64, una vez analizada, corresponde a Mac Sync , una versión renombrada de Mac. que surgió por primera vez en abril de 2025. MacSync, según el laboratorio Moonlock de MacPaw, viene equipado con un agente basado en Go con todas las funciones que va más allá del simple robo de datos y permite funciones de comando y control remotos.
Vale la pena señalar que también se han observado versiones firmadas con código de archivos DMG maliciosos que imitan a Google Meet en ataques que propagan otros ladrones de macOS, como Odisea . Dicho esto, los actores de amenazas siguen confiando en las imágenes de disco sin firmar para entregar Robador de dígitos tan recientemente como el mes pasado.
«Este cambio en la distribución refleja una tendencia más amplia en el panorama del malware para macOS, donde los atacantes intentan cada vez más introducir su malware en archivos ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas», afirma Jamf.
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS