Bei der Überprüfung der Erkennungen durch die internen YARA-Regeln behauptet Jamf Threat Labs, einen signierten und notariell beglaubigten Stealer beobachtet zu haben, der nicht den in der Vergangenheit üblichen Ausführungsketten folgte.
Laut 23pds von Slowmist handelt es sich bei diesem Stealer um eine neue Variante des MacSync-Variante, die dafür bekannt ist, die macOS-Sicherheit zu umgehen.
Slowmist behauptet, Nutzerdaten seien bereits gestohlen worden
In einem X-Post behauptete 23pds, Chief Information Security Officer von Slowmist, dass es eine neue Variante von MacSync gibt, die das macOS-Gatekeeper-Sicherheitssystem umgeht und bereits die Daten vieler Benutzer gestohlen hat.
Laut 23pds nutzt diese Variante Techniken wie das Aufblähen von Dateien, die Überprüfung von Netzwerkverbindungen und Selbstzerstörungsskripte nach der Ausführung, um einer Entdeckung zu entgehen. Sie kann Berichten zufolge sensible Daten wie iCloud-Schlüsselbunde, Browserpasswörter und Krypto-Wallets stehlen.
Die Warnung war einem Blogbeitrag von Jamf Threat Labs beigefügt, in dem berichtet wurde, dass dies nicht der erste Kontakt mit MacSync sei.
Die auf macOS abzielende Malware zum Datendiebstahl tauchte Berichten zufolge erstmals im April 2025 unter dem Namen „Mac.C“ auf und wurde von einem Bedrohungsakteur namens „Mentalpositive“ entwickelt. Kurz darauf wurde sie in MacSync umbenannt und gewann schnell an tracunter Cyberkriminellen.
Um sich davor zu schützen, laden Sie Apps nur aus dem Mac App Store oder von vertrauenswürdigen Entwickler-Websites herunter, halten Sie Ihr macOS und Ihre Apps auf dem neuesten Stand, verwenden Sie seriöse Antiviren-/Endpoint-Security-Tools, die macOS-Bedrohungen erkennen, und seien Sie vorsichtig mit unerwarteten .dmg-Dateien oder Installationsprogrammen, insbesondere solchen, die Krypto- oder Messaging-Tools versprechen.
Gibt es eine neue MacSync-Malware?
Die fragliche Malware-Probe ähnelte Berichten zufolge stark früheren Varianten der zunehmend aktiven MacSync Stealer-Malware, wurde aber in ihrem Design überarbeitet. Sie unterschied sich von früheren MacSync Stealer-Varianten, die hauptsächlich auf Drag-to-Terminal- oder ClickFix-ähnliche Techniken setzten, durch einen subtileren, automatisierten Ansatz.
Das Beispiel wird angeblich als signierte und notariell beglaubigte Swift-Anwendung in einem Disk-Image mit dem Namen zk-call-messenger-installer-3.9.2-lts.dmg bereitgestellt
Dadurch entfällt die Notwendigkeit einer direkten Interaktion mit dem Terminal. Stattdessen ruft der Dropper ein kodiertes Skript von einem Remote-Server ab und führt es über eine in Swift erstellte Hilfsdatei aus
Die Jamf Threat Labs beobachteten außerdem, dass der Odyssey-Infostealer in neueren Varianten ähnliche Verbreitungsmethoden anwendet. Sie zeigten sich überrascht, dass die bekannte Anweisung zum Öffnen per Rechtsklick auch in der neuen Version noch vorhanden ist, obwohl die ausführbare Datei signiert ist und diesen Schritt eigentlich nicht erfordert.
„Nach Prüfung der Mach-O-Binärdatei, die ein universeller Build ist, konnten wir bestätigen, dass sie sowohl codesigniert als auch notariell beglaubigt ist. Die Signatur ist mit der Entwicklerteam-ID GNJLS3UYZ4 verknüpft“, behaupteten sie.
Sie überprüften die Hashwerte der Codeverzeichnisse anhand der Sperrliste von Apple und stellten fest, dass zum Zeitpunkt der Analyse keine Einträge gesperrt waren.
Eine weitere bemerkenswerte Beobachtung betrifft die ungewöhnlich große Größe des Disk-Images (25,5 MB), die ihrer Aussage nach durch im App-Bundle eingebettete Köderdateien aufgebläht zu sein scheint.
Zum Zeitpunkt der Analyse wurden einige der auf VirusTotal hochgeladenen Dateien nur von einem Antivirenprogramm erkannt, andere hingegen von bis zu dreizehn. Nachdem Jamf Threat Labs bestätigt hatte, dass die Entwicklerteam-ID zur Verbreitung schädlicher Dateien verwendet wurde, meldete das Unternehmen dies Apple. Das zugehörige Zertifikat wurde daraufhin widerrufen.
