Investigadores de ciberseguridad han descubierto una nueva variante de un ladrón de información de macOS llamado MacSincronización Esto se entrega mediante una aplicación Swift certificada y firmada digitalmente que se hace pasar por un instalador de aplicaciones de mensajería para evitar los controles de Apple.
“A diferencia de las variantes anteriores de MacSync Stealer, que se basan principalmente en técnicas de arrastrar a Terminal o ClickFix, este ejemplo adopta un enfoque más engañoso y sencillo”, dijo el investigador de Jamf Thijs Xhaflaire.
La empresa de seguridad y administración de dispositivos Apple dijo que la última versión se distribuirá como una aplicación Swift firmada con código y certificada ante notario en un archivo de imagen de disco (DMG) llamado zk-call-messenger-installer-3.9.2-lts.dmg alojado en zkcall(.)net/download.
El hecho de que esté firmado y certificado ante notario significa que se puede ejecutar sin ser bloqueado o marcado por controles de seguridad integrados como Gatekeeper o XProtect. A pesar de esto, se descubrió que el instalador mostraba instrucciones pidiendo a los usuarios que hicieran clic derecho y abrieran la aplicación, una táctica común utilizada para eludir tales medidas de seguridad. Desde entonces, Apple revocó el certificado de firma de código.
Luego, el cuentagotas basado en Swift realiza una serie de comprobaciones antes de descargar y ejecutar un script codificado a través de un componente auxiliar. Esto incluye verificar la conectividad a Internet, imponer un intervalo de ejecución mínimo de aproximadamente 3600 segundos para aplicar la limitación de velocidad, así como eliminar atributos de cuarentena y validar el archivo antes de la ejecución.
“En particular, el comando curl para recuperar la carga útil tiene diferencias significativas con respecto a las variantes anteriores”, explicó Xhaflaire. “En lugar de utilizar la combinación -fsSL comúnmente utilizada, las banderas se dividieron en -fL y -sS y se introdujeron opciones adicionales como –noproxy”.
“Estos cambios, junto con el uso de variables pobladas dinámicamente, sugieren un cambio deliberado en la forma en que se recupera y valida la carga útil, probablemente con el objetivo de mejorar la confiabilidad o evitar la detección”.
Otro mecanismo de evasión de la campaña es el uso de un archivo DMG inusualmente grande, cuyo tamaño aumenta a 25,5 MB debido a la incrustación de documentos PDF no relacionados.
La carga útil codificada en Base64, después del análisis, corresponde a MacSync, una versión renombrada de Mac.c que se lanzó por primera vez en abril de 2025. MacSync está equipado con un agente basado en Go con todas las funciones que va más allá del simple robo de datos y permite capacidades de comando y control remotos, según Moonlock Lab de MacPaw.
Vale la pena señalar que las versiones firmadas con código de archivos DMG maliciosos que imitan a Google Meet también se han observado en ataques difundidos por otros ladrones de macOS como Odyssey. Sin embargo, a partir del mes pasado, los actores de amenazas continuaron dependiendo de imágenes de disco sin firmar para entregar DigitStealer.
“Este cambio en la distribución refleja una tendencia más amplia en el panorama del malware macOS, donde los atacantes intentan cada vez más inyectar su malware en archivos ejecutables firmados y notariados, haciéndolos parecer más aplicaciones legítimas”, dijo Jamf.
About The Author
