Badacze bezpieczeństwa wykryli nową odmianę macOS-owego stealera informacji nazwanego MacSync, która jest rozpowszechniana jako cyfrowo podpisana i notaryzowana aplikacja napisana w Swift, udająca instalator komunikatora. Taki sposób dystrybucji pozwala próbować obejść wbudowane mechanizmy ochronne Apple, w tym Gatekeeper.
Według badacza z firmy Jamf, Thijsa Xhaflaire’a, nowy wariant różni się sposobem działania od wcześniejszych odmian MacSync, które polegały w dużej mierze na technikach wymagających interakcji użytkownika, takich jak „przeciągnij-do-terminala” czy metody stylizowane na ClickFix. „W odróżnieniu od wcześniejszych wariantów, które polegały głównie na przeciąganiu do terminala lub technikach typu ClickFix, ten przykład przyjął bardziej podstępne, bezobsługowe podejście” — stwierdził Xhaflaire.
Najnowsza wersja jest rozpowszechniana w postaci podpisanej i notaryzowanej aplikacji Swift zamkniętej w obrazie dysku (DMG) o nazwie „zk-call-messenger-installer-3.9.2-lts.dmg”, hostowanym pod adresem „zkcall[.]net/download”. To, że plik jest podpisany i notaryzowany, oznacza, iż może zostać uruchomiony bez natychmiastowego zablokowania czy oznaczenia przez mechanizmy takie jak Gatekeeper czy XProtect. Mimo to instalator wyświetla instrukcje sugerujące użytkownikom, by otworzyli aplikację przez kliknięcie prawym przyciskiem i wybranie opcji „Otwórz” — typowa sztuczka pozwalająca ominąć niektóre zabezpieczenia. Apple cofnęło już użyty certyfikat podpisu kodu.
Sam dropper napisany w Swift wykonuje przed uruchomieniem payloadu szereg sprawdzeń i kroków przygotowawczych. Weryfikuje połączenie z internetem, narzuca minimalny odstęp pomiędzy uruchomieniami wynoszący około 3600 sekund (co działa jako ogranicznik tempa), usuwa atrybuty kwarantanny i waliduje plik przed wykonaniem. Po tych kontrolach pobiera i uruchamia zakodowany skrypt za pośrednictwem pomocniczego komponentu.
Xhaflaire zwrócił też uwagę na zmiany w sposobie pobierania payloadu: polecenie curl używane do pobrania zawiera inne przełączniki niż w poprzednich odmianach — zamiast często spotykanej kombinacji -fsSL flags są rozdzielone na -fL i -sS, a dodatkowo zastosowano opcję –noproxy. „Te zmiany, wraz z użyciem zmiennych uzupełnianych dynamicznie, wskazują na celową zmianę sposobu pobierania i weryfikacji ładunku, prawdopodobnie mającą na celu poprawę niezawodności lub unikanie wykrycia” — wyjaśnił badacz.
Jako mechanizm utrudniający analizę i wykrycie, atakujący wykorzystali niecodziennie duży plik DMG — obraz został sztucznie powiększony do 25,5 MB poprzez osadzenie w nim niezwiązanych dokumentów PDF. Po pobraniu i zdekodowaniu Base64, zawartość ładunku odpowiada MacSync — rebrandowi malware’u Mac.c, który pojawił się po raz pierwszy w kwietniu 2025 roku.
Według zespołu Moonlock Lab firmy MacPaw, MacSync wyposażony jest w w pełni funkcjonalnego agenta napisane-go w Go, który wykracza poza prostą kradzież danych i umożliwia zdalne sterowanie (command-and-control). To oznacza, że oprogramowanie może nie tylko zbierać informacje, lecz także przyjmować polecenia z zewnętrznego serwera, co zwiększa potencjalne ryzyko dla zainfekowanych maszyn.
Warto też zauważyć, że podpisane cyfrowo DMG-ki podszywające się pod znane aplikacje (np. Google Meet) były już obserwowane w ramach innych kampanii rozpowszechniających stealery, takich jak Odyssey. Z drugiej strony, przestępcy nadal czasami korzystają z niepodpisanych obrazów dysku — na przykład jeszcze w zeszłym miesiącu używano niepodpisanych DMG do dystrybucji DigitStealera. Jak podsumowała firma Jamf, ten sposób dystrybucji odzwierciedla szerszy trend w krajobrazie malware dla macOS: atakujący coraz częściej próbują wślizgnąć swoje złośliwe oprogramowanie do wykonywalnych plików podpisanych i notaryzowanych, aby wyglądały bardziej jak legalne aplikacje.
Odkrycie podkreśla, że podpis cyfrowy i notaryzacja, choć mają na celu zwiększenie bezpieczeństwa użytkowników, nie są już same w sobie gwarancją braku złośliwości. W praktyce oznacza to, że zarówno administratorzy IT, jak i użytkownicy powinni zachować szczególną ostrożność przy instalacji oprogramowania z niepewnych źródeł oraz utrzymywać mechanizmy obronne i procedury weryfikacji na najwyższym poziomie.
