(https://i.postimg.cc/d3vxQQWG/Malware-(5).png) (https://postimg.cc/9R8pJ2Hf)
La última variante del troyano MacSync, que roba información y ataca sistemas macOS, se distribuye a través de una aplicación Swift firmada digitalmente y certificada.
Investigadores de seguridad de Jamf, plataforma de gestión de dispositivos Apple, afirman que este método de distribución representa una evolución significativa con respecto a versiones anteriores, que utilizaban tácticas menos sofisticadas como "arrastrar al Terminal" o ClickFix.
"Distribuida como una aplicación Swift con firma digital y certificación, dentro de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, y disponible en https://zkcall[.]net/download, elimina la necesidad de cualquier interacción directa con la terminal", señalan los investigadores en un informe publicado hoy.
Firma digital válida y certificación notarial
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/signature.jpg)
En el momento del análisis, Jamf informó que la última variante de MacSync tenía una firma válida y podía eludir las comprobaciones de Gatekeeper, el sistema de seguridad de macOS.
"Tras inspeccionar el binario Mach-O, que es una compilación universal, confirmamos que está firmado digitalmente y certificado. La firma está asociada al ID de equipo de desarrollador GNJLS3UYZ4", explica Jamf.
Sin embargo, tras notificar el certificado directamente a Apple, este ha sido revocado.
El malware se instala en el sistema mediante un programa de descarga en formato codificado. Tras decodificar la carga útil, los investigadores descubrieron las características habituales del troyano MacSync Stealer.
La carga útil desofuscada
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/payload(1).jpg)
Los investigadores señalaron que el programa malicioso cuenta con varios mecanismos de evasión, entre ellos, inflar el archivo DMG hasta alcanzar los 25,5 MB mediante la incrustación de archivos PDF señuelo, eliminar los scripts utilizados en la cadena de ejecución y realizar comprobaciones de conectividad a internet antes de la ejecución para evadir los entornos aislados (sandboxes).
El contenido de la imagen de disco descomprimida
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/contents.jpg)
El malware Mac.C apareció en abril de 2025, creado por un actor de amenazas llamado "Mentalpositive". Ganó popularidad en julio, uniéndose al nicho, menos saturado pero aún rentable, de los programas maliciosos para macOS dedicados al robo de información, junto con AMOS y Odyssey.
Un análisis previo de Mac.C realizado por MacPaw Moonlock indica que puede robar credenciales del llavero de iCloud, contraseñas almacenadas en navegadores web, metadatos del sistema, datos de billeteras de criptomonedas y archivos del sistema de archivos.
Curiosamente, en una entrevista que Mentalpositive concedió al investigador g0njxa en septiembre, el creador del malware afirmó que la implementación de una política de certificación de aplicaciones más estricta en macOS 10.14.5 y versiones posteriores influyó significativamente en sus planes de desarrollo, lo cual se refleja en las últimas versiones detectadas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/