Os dados do usuário já foram roubados, pois uma nova variante do MacSync burla a segurança do macOS

Ao analisar as detecções de suas regras internas do YARA, o Jamf Threat Labs afirma ter observado um programa de roubo de dados assinado e autenticado que não seguia as cadeias de execução típicas vistas no passado. 

Segundo o site 23pds da Slowmist, este programa é uma nova variante do MacSync, famoso por burlar a segurança do macOS. 

A Slowmist alega que as informações do usuário já foram roubadas 

Em uma postagem no X, o Diretor de Segurança da Informação da Slowmist, 23pds, afirmou que existe uma nova variante do MacSync que burla o sistema de segurança Gatekeeper do macOS e que já teria roubado informações de muitos usuários. 

Segundo a 23pds, para evitar a detecção, a variante emprega técnicas como desinflação de arquivos, verificação de conexão de rede e scripts de autodestruição após a execução. Ela pode roubar dados sensíveis como chaves do iCloud, senhas de navegadores e carteiras de criptomoedas. 

O alerta veio anexado a uma postagem no blog do Jamf Threat Labs, relatando que este não é o primeiro contato da empresa com o MacSync. 

O malware de roubo de informações direcionado ao macOS teria surgido pela primeira vez em abril de 2025 como “Mac.C”, desenvolvido por um grupo de ameaças conhecido como “Mentalpositive”. Pouco tempo depois, foi renomeado para MacSync, nome que rapidamente o tornou tracentre os cibercriminosos.

Para se proteger, baixe aplicativos somente da Mac App Store ou de sites de desenvolvedores confiáveis, mantenha seu macOS e aplicativos atualizados, use ferramentas antivírus/de segurança de endpoint confiáveis ​​que detectem ameaças ao macOS e tenha cautela com arquivos .dmg ou instaladores inesperados, especialmente aqueles que prometem ferramentas relacionadas a criptografia ou mensagens.

Existe algum novo malware para MacSync? 

A amostra em questão era, segundo relatos, muito semelhante a variantes anteriores do malware MacSync Stealer, cada vez mais ativo, mas teve seu design reformulado. Ela diferia das variantes anteriores do MacSync Stealer, que se baseavam principalmente em técnicas de arrastar e soltar arquivos no terminal ou no estilo ClickFix, por empregar uma abordagem mais enganosa e sem interação direta. 

A amostra é supostamente entregue como um aplicativo Swift com assinatura digital e autenticação em cartório, dentro de uma imagem de disco chamada zk-call-messenger-installer-3.9.2-lts.dmg, distribuída através do site https://zkcall.net/download. 

Isso elimina a necessidade de qualquer interação direta com o terminal. Em vez disso, o dropper recupera um script codificado de um servidor remoto e o executa por meio de um executável auxiliar criado em Swift

O Jamf Threat Labs também observou que o infostealer Odyssey adota métodos de distribuição semelhantes em variantes recentes. Eles expressaram surpresa com o fato de a instrução familiar de abrir o arquivo clicando com o botão direito ainda estar presente na nova amostra, mesmo que o executável seja assinado e não exija essa etapa.

“Após inspecionarmos o binário do Mach-O, que é uma versão universal, confirmamos que ele possui assinatura digital e autenticação notarial. A assinatura está associada ao ID da Equipe de Desenvolvimento GNJLS3UYZ4”, afirmaram. 

Eles se certificaram de verificar os hashes do diretório de código em relação à lista de revogação da Apple e, no momento da análise, afirmaram que nenhum havia sido revogado.

Outra observação notável foi o tamanho excepcionalmente grande da imagem do disco (25,5 MB), que, segundo eles, parece estar inflado por arquivos falsos incorporados no pacote do aplicativo. 

No momento da análise, algumas das amostras enviadas ao VirusTotal foram detectadas por apenas um mecanismo antivírus, enquanto outras foram sinalizadas por até treze. Após confirmar que o ID da Equipe de Desenvolvedores foi usado para distribuir payloads maliciosos, o Jamf Threat Labs relatou o ocorrido à Apple. Desde então, o certificado associado foi revogado.