Durante l'analisi dei rilevamenti delle sue regole YARA interne, Jamf Threat Labs afferma di aver individuato uno stealer firmato e autenticato che non seguiva le tipiche catene di esecuzione osservate in passato.
Secondo 23pds di Slowmist, questo stealer è una nuova variante di MacSync, famoso per aggirare la sicurezza di macOS.
Slowmist sostiene che le informazioni degli utenti sono già state rubate
In un post su X, il responsabile della sicurezza informatica di Slowmist, 23pds, ha affermato che esiste una nuova variante di MacSync che aggira il sistema di sicurezza gatekeeper di macOS e che ha già rubato le informazioni di molti utenti.
Secondo 23pds, per eludere il rilevamento, la variante impiega tecniche come l'inflazione dei file, la verifica della connessione di rete e script di autodistruzione dopo l'esecuzione. Potrebbe rubare dati sensibili come portachiavi iCloud, password del browser e portafogli crittografici.
L'avviso è allegato a un blog di Jamf Threat Labs, in cui si segnala che questo non è il primo contatto con MacSync.
Secondo quanto riferito, il malware per il furto di informazioni mirato a macOS è apparso per la prima volta nell'aprile 2025 con il nome di "Mac.C", sviluppato da un autore di minacce noto come "Mentalpositive". Poco dopo è stato rinominato MacSync, guadagnando rapidamente tractra i criminali informatici.
Per proteggerti, scarica le app solo dal Mac App Store o da siti web di sviluppatori affidabili, mantieni aggiornati macOS e le tue app, usa strumenti di sicurezza antivirus/endpoint affidabili che rilevino le minacce di macOS e fai attenzione ai file .dmg o ai programmi di installazione inaspettati, in particolare quelli che promettono strumenti di messaggistica o relativi alla crittografia.
Esiste un nuovo malware MacSync?
Il campione in questione, a quanto pare, era molto simile alle precedenti varianti del malware MacSync Stealer, sempre più attivo, ma presentava un design rinnovato. Si differenziava dalle precedenti varianti di MacSync Stealer, che si basavano principalmente su tecniche di trascinamento sul terminale o in stile ClickFix, in quanto adottava un approccio più ingannevole e non invasivo.
Secondo quanto riferito, il campione viene fornito come applicazione Swift firmata e autenticata in codice all'interno di un'immagine disco denominata zk-call-messenger-installer-3.9.2-lts.dmg, distribuita tramite https://zkcall.net/download.
Ciò elimina la necessità di qualsiasi interazione diretta con il terminale. Invece, il dropper recupera uno script codificato da un server remoto e lo esegue tramite un eseguibile helper integrato in Swift
Jamf Threat Labs ha anche osservato che l'infostealer Odyssey adotta metodi di distribuzione simili in varianti recenti. Hanno espresso sorpresa per il fatto che la familiare istruzione di apertura tramite clic destro sia ancora presente nel nuovo campione, nonostante l'eseguibile sia firmato e non richieda questo passaggio.
"Dopo aver ispezionato il binario di Mach-O, che è una build universale, abbiamo confermato che è sia firmato in codice che autenticato. La firma è associata all'ID del team di sviluppo GNJLS3UYZ4", hanno affermato.
Si sono assicurati di verificare gli hash delle directory del codice rispetto all'elenco di revoche di Apple e, al momento dell'analisi, hanno affermato che nessuno era stato revocato.
Un'altra osservazione degna di nota riguarda le dimensioni insolitamente grandi dell'immagine del disco (25,5 MB), che secondo loro sembrano essere gonfiate dai file esca incorporati nel bundle dell'app.
Al momento dell'analisi, alcuni dei campioni caricati su VirusTotal sono stati rilevati da un solo motore antivirus, mentre altri sono stati segnalati da un massimo di tredici. Dopo aver confermato che l'ID del Developer Team era stato utilizzato per distribuire payload dannosi, Jamf Threat Labs lo ha segnalato ad Apple. Da allora, il certificato associato è stato revocato.
