Los activos de los usuarios ya fueron robados debido a que la nueva variante de MacSync elude la seguridad de macOS

Al revisar las detecciones de sus reglas YARA internas, Jamf Threat Labs afirma que observó un ladrón firmado y notariado que no seguía las cadenas de ejecución típicas vistas en el pasado. 

Según 23pds de Slowmist, este ladrón es una nueva variante de la variante MacSync famosa por eludir la seguridad de macOS. 

Slowmist afirma que la información del usuario ya fue robada 

En una publicación de X, el director de seguridad de la información de Slowmist, 23pds, afirmó que hay una nueva variante de MacSync que elude el sistema de seguridad del guardián de macOS y que ya ha secuestrado la información de muchos usuarios. 

Según 23pds, para evadir la detección, esta variante emplea técnicas como la inflación de archivos, la verificación de la conexión de red y scripts de autodestrucción tras su ejecución. Supuestamente, puede robar datos confidenciales como llaveros de iCloud, contraseñas de navegador y monederos de criptomonedas. 

La advertencia vino adjunta a un blog de Jamf Threat Labs, informando que este no es su primer contacto con MacSync. 

Según informes, el malware ladrón de información dirigido a macOS surgió por primera vez en abril de 2025 como "Mac.C", desarrollado por un actor de amenazas conocido como "Mentalpositive". Poco después, cambió su nombre a MacSync, lo que rápidamente le valió tracentre los ciberdelincuentes.

Para protegerse, descargue aplicaciones únicamente de la Mac App Store o de sitios web de desarrolladores confiables, mantenga su macOS y sus aplicaciones actualizados, utilice herramientas de seguridad de punto final/antivirus confiables que detecten amenazas de macOS y tenga cuidado con los archivos o instaladores .dmg inesperados, especialmente aquellos que prometen herramientas relacionadas con criptografía o mensajería.

¿Existe un nuevo malware para MacSync? 

Según se informa, la muestra en cuestión parecía muy similar a variantes anteriores del malware MacSync Stealer, cada vez más activo, pero con un diseño renovado. Se diferenciaba de las variantes anteriores de MacSync Stealer, que se basaban principalmente en técnicas de arrastrar a la terminal o similares a ClickFix, ya que empleaba un enfoque más engañoso y sin intervención. 

Según se informa, la muestra se entrega como una aplicación Swift firmada y notariada dentro de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, distribuida a través de https://zkcall.net/download. 

Esto elimina la necesidad de interacción directa con la terminal. En su lugar, el dropper recupera un script codificado de un servidor remoto y lo ejecuta mediante un ejecutable auxiliar creado en Swift

Jamf Threat Labs también observó que el ladrón de información Odyssey adopta métodos de distribución similares en variantes recientes. Expresaron su sorpresa al comprobar que la conocida instrucción de apertura con clic derecho sigue presente en la nueva muestra, a pesar de que el ejecutable está firmado y no requiere este paso.

Tras inspeccionar el binario de Mach-O, que es una compilación universal, confirmamos que está firmado en código y certificado. La firma está asociada al ID del equipo de desarrollo GNJLS3UYZ4, afirmaron. 

Se aseguraron de verificar los hashes del directorio de códigos con la lista de revocación de Apple y, en el momento del análisis, dijeron que ninguno había sido revocado.

Otra observación notable es el tamaño inusualmente grande de la imagen del disco (25,5 MB), que según dijeron parece estar inflada por archivos señuelo incrustados en el paquete de la aplicación. 

En el momento del análisis, algunas de las muestras subidas a VirusTotal fueron detectadas por un solo motor antivirus, mientras que otras fueron detectadas por hasta trece. Tras confirmar que el ID del equipo de desarrolladores se utilizó para distribuir cargas maliciosas, Jamf Threat Labs lo informó a Apple. Desde entonces, el certificado asociado ha sido revocado.