Исследователи безопасности из компании Jamf обнаружили новую опасную вариацию вредоносного ПО для macOS, получившую название MacSync. Этот инструмент классифицируется как похититель информации (stealer) с возможностями удаленного управления и контроля. Главной инновацией угрозы стала ее способность обходить встроенные механизмы защиты Apple, такие как Gatekeeper и XProtect, благодаря использованию официально подписанного и нотаризованного приложения на языке Swift.
Вредоносная программа распространяется под видом легитимного установщика мессенджера. Файл носит название
Техническая архитектура атаки является гибридной. Дроппер (загрузчик) создан с использованием языка программирования Swift, тогда как основной агент вредоносного ПО базируется на языке Go. Полезная нагрузка внутри программы закодирована в формате Base64. Для обеспечения стабильности работы и скрытности от систем мониторинга зловред навязывает строгий лимит частоты выполнения команд с интервалом приблизительно в 3600 секунд.
Ключевым фактором успеха MacSync стало наличие действующей цифровой подписи и успешное прохождение процесса нотаризации Apple. Это позволило приложению запускаться на устройствах жертв без блокировок и предупреждений системы безопасности. На данный момент компания Apple уже отозвала скомпрометированный сертификат подписи кода, закрыв эту уязвимость для новых попыток установки.
В стратегии взаимодействия с пользователем злоумышленники отказались от сложных схем вроде «ClickFix» или требований перетащить файл в терминал. Вместо этого использовалась инструкция нажать правую кнопку мыши и выбрать пункт «Открыть». Хотя этот метод традиционно применяется для запуска неподписанного ПО в обход настроек безопасности, в данном случае, учитывая наличие подписи, он служил дополнительным отвлекающим маневром.
Алгоритм выполнения дроппера включает обязательную проверку интернет-соединения, удаление атрибутов карантина с файлов и валидацию перед запуском. Для загрузки и выполнения закодированного скрипта через вспомогательный компонент используются модифицированные команды
Детальный анализ угрозы провел исследователь Jamf Тейс Ксафлер (Thijs Xhaflaire), а дополнительные данные предоставила лаборатория Moonlock Lab компании MacPaw. MacSync идентифицирован как ребрендинг вредоносного ПО Mac.c, первое появление которого датировано апрелем 2025 года. Несмотря на смену названия, основной целью атак остается операционная система macOS.
Появление MacSync подтверждает растущую тенденцию среди киберпреступников маскировать вредоносный код внутри подписанных исполняемых файлов. Ранее схожая тактика наблюдалась в кампании стилера Odyssey, имитировавшего Google Meet через подписанные DMG-файлы. Параллельно с этим продолжают действовать и менее сложные угрозы, такие как DigitStealer, который распространялся через неподписанные образы дисков и был замечен в прошлом месяце.
Изображение носит иллюстративный характер
Вредоносная программа распространяется под видом легитимного установщика мессенджера. Файл носит название
zk-call-messenger-installer-3.9.2-lts.dmg и размещается по адресу zkcall[.]net/download. Размер установочного пакета составляет 25.5 МБ. Этот объем был искусственно завышен злоумышленниками путем внедрения в пакет посторонних PDF-документов, что позволяет усложнить обнаружение угрозы и придать ей вид полноценного программного обеспечения. Техническая архитектура атаки является гибридной. Дроппер (загрузчик) создан с использованием языка программирования Swift, тогда как основной агент вредоносного ПО базируется на языке Go. Полезная нагрузка внутри программы закодирована в формате Base64. Для обеспечения стабильности работы и скрытности от систем мониторинга зловред навязывает строгий лимит частоты выполнения команд с интервалом приблизительно в 3600 секунд.
Ключевым фактором успеха MacSync стало наличие действующей цифровой подписи и успешное прохождение процесса нотаризации Apple. Это позволило приложению запускаться на устройствах жертв без блокировок и предупреждений системы безопасности. На данный момент компания Apple уже отозвала скомпрометированный сертификат подписи кода, закрыв эту уязвимость для новых попыток установки.
В стратегии взаимодействия с пользователем злоумышленники отказались от сложных схем вроде «ClickFix» или требований перетащить файл в терминал. Вместо этого использовалась инструкция нажать правую кнопку мыши и выбрать пункт «Открыть». Хотя этот метод традиционно применяется для запуска неподписанного ПО в обход настроек безопасности, в данном случае, учитывая наличие подписи, он служил дополнительным отвлекающим маневром.
Алгоритм выполнения дроппера включает обязательную проверку интернет-соединения, удаление атрибутов карантина с файлов и валидацию перед запуском. Для загрузки и выполнения закодированного скрипта через вспомогательный компонент используются модифицированные команды
curl. Злоумышленники отошли от стандартных флагов -fsSL, разделив их на -fL и -sS, а также добавили опцию --noproxy. Эти изменения направлены на повышение надежности соединения и уклонение от детектирования. Детальный анализ угрозы провел исследователь Jamf Тейс Ксафлер (Thijs Xhaflaire), а дополнительные данные предоставила лаборатория Moonlock Lab компании MacPaw. MacSync идентифицирован как ребрендинг вредоносного ПО Mac.c, первое появление которого датировано апрелем 2025 года. Несмотря на смену названия, основной целью атак остается операционная система macOS.
Появление MacSync подтверждает растущую тенденцию среди киберпреступников маскировать вредоносный код внутри подписанных исполняемых файлов. Ранее схожая тактика наблюдалась в кампании стилера Odyssey, имитировавшего Google Meet через подписанные DMG-файлы. Параллельно с этим продолжают действовать и менее сложные угрозы, такие как DigitStealer, который распространялся через неподписанные образы дисков и был замечен в прошлом месяце.
