新しいMacSyncの亜種がmacOSのセキュリティを回避し、ユーザー資産がすでに盗まれている

Jamf Threat Labs は、社内の YARA ルールの検出を確認中に、過去に見られた典型的な実行チェーンに従わない、署名および公証された Stealer を観察したと主張しています。. 

Slowmist の23pdsによると 、このスティーラーは、macOS のセキュリティを回避することで有名な MacSync 亜種の新しい亜種です。 

Slowmistはユーザー情報がすでに盗まれたと主張 

Xの投稿で、Slowmistの最高情報セキュリティ責任者である23pdsは、macOSのゲートキーパーセキュリティシステムを回避するMacSyncの新しい亜種が存在し、すでに多くのユーザーの情報を乗っ取っていると主張した。. 

23pdsによると、この亜種は検出を回避するため、ファイルの膨張、ネットワーク接続の検証、実行後の自己破壊スクリプトなどの手法を採用している。iCloudキーチェーン、ブラウザのパスワード、暗号通貨ウォレットなどの機密データを盗むことができると報告されている。. 

この警告は Jamf Threat Labs のブログに添付されており、これが MacSync との最初の接触ではないことが報告されています。. 

macOSを標的とした情報窃取型マルウェアは、2025年4月に「Mentalpositive」として知られる脅威アクターによって開発された「Mac.C」として初めて出現したと報告されています。その後まもなく「MacSync」にリブランドされ、サイバー犯罪者の間で急速に tracました。.

こうした脅威から身を守るには、Mac App Store または信頼できる開発者の Web サイトからのみアプリをダウンロードし、macOS とアプリを最新の状態に保ち、macOS の脅威を検出できる信頼できるウイルス対策ツールやエンドポイント セキュリティ ツールを使用し、予期しない .dmg ファイルやインストーラー、特に暗号化関連ツールやメッセージング ツールを装うものには注意してください。.

新しい MacSync マルウェアはありますか? 

問題のサンプルは、活発化しているMacSync Stealerマルウェアの過去の亜種と非常に類似していたと報告されていますが、設計が刷新されていました。ターミナルへのドラッグやClickFixのような手法を主に利用していた以前のMacSync Stealer亜種とは異なり、より欺瞞的で手間のかからないアプローチを採用しています。. 

報告によると、このサンプルは、 https://zkcall.net/download 経由で配布される zk-call-messenger-installer-3.9.2-lts.dmg というディスク イメージ内で、コード署名され、公証された Swift アプリケーションとして 配信されています。

これにより、直接の端末操作は不要になります。代わりに、ドロッパーはリモートサーバーからエンコードされたスクリプトを取得し、Swiftで構築されたヘルパー実行ファイルを介して実行します。

Jamf Threat Labsは、Odysseyインフォスティーラーが最近の亜種で同様の配布手法を採用していることも確認しました。実行ファイルが署名されており、この手順を必要としないにもかかわらず、おなじみの右クリックによる開く指示が新しいサンプルにも残っていることに、Jamf Threat Labsは驚きを表明しました。.

「ユニバーサルビルドであるMach-Oバイナリを検査した結果、コード署名と公証の両方が行われていることを確認しました。署名は開発チームID GNJLS3UYZ4に関連付けられています」と彼らは主張した。. 

彼らはコードディレクトリのハッシュをAppleの失効リストと照合して検証し、分析時点では何も失効していないと述べた。.

もう一つの注目すべき点は、ディスク イメージのサイズが異常に大きい (25.5 MB) ことです。これは、アプリ バンドル内に埋め込まれたデコイ ファイルによってサイズが膨らんでいるようです。. 

分析時点では、VirusTotalにアップロードされたサンプルの中には、1つのアンチウイルスエンジンのみで検出されたものもあれば、最大13のアンチウイルスエンジンでフラグ付けされたものもありました。Jamf Threat Labsは、Developer Team IDが悪意のあるペイロードの配布に使用されたことを確認した後、Appleに報告しました。その後、関連する証明書は失効しました。.