A variante mais recente do malware MacSync, um information stealer que atinge sistemas macOS, é distribuída por meio de um aplicativo Swift digitalmente assinado e notarizado.
Pesquisadores de segurança da Jamf, plataforma especializada no gerenciamento de dispositivos Apple, apontam que esse método de distribuição representa uma evolução significativa em relação às versões anteriores, que utilizavam táticas menos sofisticadas, como “drag-to-Terminal” ou ClickFix.
Segundo o relatório divulgado pelos especialistas, o malware é entregue dentro de uma imagem de disco chamada *zk-call-messenger-installer-3.9.2-lts.dmg*, disponível para download em https://zkcall.net/download.
Assim, o processo não exige qualquer interação direta com o terminal do usuário.
No momento da análise, a Jamf confirmou que essa nova variante do MacSync possuía uma assinatura válida, o que permitia burlar as verificações do Gatekeeper, sistema de segurança nativo do macOS.
Após inspeção do binário Mach-O — um arquivo universal — foi verificado que ele estava devidamente code-signed e notarizado, com a assinatura vinculada ao Developer Team ID GNJLS3UYZ4.
No entanto, após denúncia à Apple, o certificado utilizado foi revogado.
O malware é instalado por meio de um dropper codificado.
Após a decodificação da payload maliciosa, os pesquisadores identificaram as características clássicas do MacSync Stealer.
Entre os mecanismos de evasão adotados pelo stealer estão o aumento do tamanho da imagem DMG para 25,5 MB, por meio da inserção de PDFs falsos; a limpeza dos scripts usados na cadeia de execução; e testes de conexão com a internet antes da ativação, com o objetivo de evitar ambientes sandbox.
Essa ameaça surgiu em abril de 2025, sendo inicialmente identificada como Mac.C e atribuída a um ator conhecido como ‘Mentalpositive’.
Em julho, ganhou destaque ao ingressar em um segmento menos concorrido, mas ainda lucrativo, de stealers voltados para macOS, ao lado de malwares como AMOS e Odyssey.
Análise anterior realizada pelo MacPaw Moonlock revelou que o Mac.C é capaz de roubar credenciais do iCloud Keychain, senhas armazenadas em navegadores web, metadados do sistema, dados de carteiras de criptomoedas e arquivos do sistema.
Em entrevista concedida em setembro ao pesquisador g0njxa, o autor do malware, Mentalpositive, afirmou que a adoção de uma política mais rígida de notarização de aplicativos no macOS 10.14.5 e versões posteriores foi o principal fator que influenciou seus planos de desenvolvimento — algo refletido nas versões mais recentes em circulação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...