В ходе анализа обнаруженных уязвимостей, выявленных с помощью собственных правил YARA, Jamf Threat Labs утверждает, что обнаружила поддельный и нотариально заверенный код, который не соответствовал типичным схемам выполнения атак, наблюдавшимся ранее.
По информации 23pds от Slowmist, этот вредоносный код является новым вариантом MacSync, известного своей способностью обходить защиту macOS.
Slowmist утверждает, что информация о пользователе уже украдена
В сообщении на X главный специалист по информационной безопасности Slowmist, 23pds, заявил о появлении нового варианта MacSync, который обходит систему безопасности macOS Gatekeeper и уже завладел информацией многих пользователей.
По данным 23pds, для избежания обнаружения этот вариант вредоносной программы использует такие методы, как раздувание файлов, проверка сетевого соединения и скрипты самоуничтожения после выполнения. Сообщается, что он может красть конфиденциальные данные, такие как связки ключей iCloud, пароли браузера и криптовалютные кошельки.
Предупреждение появилось в сообщении в блоге Jamf Threat Labs, где сообщалось, что это не первый случай взаимодействия компании с MacSync.
Сообщается, что вредоносная программа для кражи информации, нацеленная на macOS, впервые появилась в апреле 2025 года под названием «Mac.C», разработанная злоумышленником, известным как «Mentalpositive». Вскоре после этого она была переименована в MacSync, и быстро получила tracсреди киберпреступников.
Чтобы защитить себя, загружайте приложения только из Mac App Store или с проверенных сайтов разработчиков, обновляйте macOS и приложения, используйте надежные антивирусные/защитные инструменты для конечных устройств, которые обнаруживают угрозы для macOS, и будьте осторожны с неожиданными файлами .dmg или установщиками, особенно с теми, которые обещают инструменты, связанные с криптографией или обменом сообщениями.
Появилось ли новое вредоносное ПО для MacSync?
Как сообщается, рассматриваемый образец выглядел очень похожим на предыдущие варианты всё более распространённого вредоносного ПО MacSync Stealer, но был обновлён в своём дизайне. Он отличался от более ранних вариантов MacSync Stealer, которые в основном полагаются на методы перетаскивания в терминал или в стиле ClickFix, тем, что использует более обманчивый, не требующий вмешательства подход.
По имеющимся данным, образец поставляется в виде подписанного и нотариально заверенного приложения Swift, находящегося в образе диска под названием zk-call-messenger-installer-3.9.2-lts.dmg, распространяемом через https://zkcall.net/download.
Это устраняет необходимость в прямом взаимодействии с терминалом. Вместо этого, программа-дроппер получает закодированный скрипт с удаленного сервера и выполняет его с помощью вспомогательного исполняемого файла, созданного на Swift
Аналитики Jamf Threat Labs также заметили, что в последних версиях вредоносной программы Odyssey используются аналогичные методы распространения. Они выразили удивление по поводу того, что в новом образце по-прежнему присутствует знакомая инструкция открытия файла по щелчку правой кнопкой мыши, несмотря на то, что исполняемый файл подписан и не требует этого шага.
«После проверки бинарного файла Mach-O, представляющего собой универсальную сборку, мы подтвердили, что он имеет цифровую подпись и нотариальное заверение. Подпись связана с идентификатором команды разработчиков GNJLS3UYZ4», — заявили они.
Они проверили хеши каталога кода по списку аннулированных лицензий Apple и на момент анализа заявили, что ни одна лицензия не была аннулирована.
Ещё одно примечательное наблюдение касается необычно большого размера образа диска (25,5 МБ), который, по их словам, по-видимому, увеличен за счёт файлов-приманок, встроенных в пакет приложения.
На момент анализа некоторые образцы, загруженные на VirusTotal, были обнаружены только одним антивирусным движком, в то время как другие были отмечены до тринадцати. После подтверждения того, что идентификатор команды разработчиков использовался для распространения вредоносных программ, Jamf Threat Labs сообщила об этом в Apple. С тех пор соответствующий сертификат был отозван.
