Investigadores de ciberseguridad han descubierto una nueva cambio de un bandido de información de macOS llamado MacSincronización que se entrega mediante una aplicación Swift certificada y firmada digitalmente que se hace advenir por un instalador de aplicaciones de correo para evitar los controles Gatekeeper de Apple.
“A diferencia de las variantes anteriores de MacSync Stealer que se basan principalmente en técnicas de tirar al terminal o de estilo ClickFix, esta muestra adopta un enfoque más engañoso y de no intervención”, dijo el investigador de Jamf Thijs Xhaflaire.
La firma de suministro de dispositivos y compañía de seguridad de Apple dijo que la última interpretación se distribuye como una aplicación Swift firmada con código y certificada delante fedatario adentro de un archivo de imagen de disco (DMG) llamado “zk-call-messenger-installer-3.9.2-lts.dmg” que está alojado en “zkcall(.)net/download”.
El hecho de que esté firmado y certificado delante fedatario significa que se puede ejecutar sin ser bloqueado o impresionado por controles de seguridad integrados como Gatekeeper o XProtect. A pesar de esto, se ha descubierto que el instalador muestra instrucciones que solicitan a los usuarios hacer clic derecho y aclarar la aplicación, una táctica global utilizada para eludir tales salvaguardas. Desde entonces, Apple ha revocado el certificado de firma de código.
Luego, el cuentagotas basado en Swift realiza una serie de comprobaciones ayer de descargar y ejecutar un script codificado a través de un componente auxiliar. Esto incluye efectuar la conectividad a Internet, imponer un intervalo de ejecución exiguo de rodeando de 3600 segundos para aplicar un linde de velocidad, eliminar atributos de cuarentena y validar el archivo ayer de la ejecución.
“En particular, el comando curl utilizado para recuperar la carga útil muestra claras desviaciones de variantes anteriores”, explicó Xhaflaire. “En sitio de utilizar la combinación -fsSL comúnmente pinta, las banderas se han dividido en -fL y -sS, y se han introducido opciones adicionales como –noproxy”.
“Estos cambios, yuxtapuesto con el uso de variables pobladas dinámicamente, apuntan a un cambio deliberado en la forma en que se recupera y valida la carga útil, probablemente destinado a mejorar la confiabilidad o eludir la detección”.
Otro mecanismo de despreocupación utilizado en la campaña es el uso de un archivo DMG inusualmente egregio, inflando su tamaño a 25,5 MB incrustando documentos PDF no relacionados.
La carga útil codificada en Base64, una vez analizada, corresponde a MacSync, una interpretación renombrada de Mac.c que surgió por primera vez en abril de 2025. MacSync, según Moonlock Lab de MacPaw, viene equipado con un agente basado en Go con todas las funciones que va más allá del simple robo de datos y permite capacidades de comando y control remotos.
Vale la pena señalar que incluso se han observado versiones firmadas con código de archivos DMG maliciosos que imitan a Google Meet en ataques que propagan otros ladrones de macOS como Odyssey. Dicho esto, los actores de amenazas han seguido dependiendo de imágenes de disco sin firmar para entregar DigitStealer tan recientemente como el mes pasado.
“Este cambio en la distribución refleja una tendencia más amplia en todo el panorama del malware macOS, donde los atacantes intentan cada vez más introducir su malware en ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas”, dijo Jamf.
