I ricercatori di cybersecurity hanno scoperto una nuova variante di un informations stealer per macOS chiamato MacSync, che viene consegnato attraverso un’applicazione Swift digitalmente firmata e notarizzata che si maschera da installer di un’app di messaggistica per bypassare i controlli di Gatekeeper di Apple. Questa variante adotta un approccio più ingannevole e hands-off rispetto alle varianti precedenti, che si affidavano principalmente a tecniche di drag-to-terminal o ClickFix-style.
Caratteristiche del MacSync
Il MacSync Stealer viene distribuito come un’applicazione Swift firmata e notarizzata all’interno di un file immagine del disco (DMG) chiamato zk-call-messenger-installer-3.9.2-lts.dmg, ospitato su zkcall[.]net/download. L’applicazione esegue una serie di controlli prima di scaricare e eseguire uno script codificato attraverso un componente helper. Ciò include la verifica della connessione internet, l’imposizione di un intervallo di esecuzione minimo di circa 3600 secondi per eseguire un rate limit, e la rimozione degli attributi di quarantena e la convalida del file prima dell’esecuzione.
Il MacSync Stealer rappresenta una minaccia significativa per la sicurezza dei sistemi macOS, in quanto può bypassare i controlli di sicurezza di Apple e eseguire azioni maliziose senza essere rilevato. È importante che gli utenti di macOS siano consapevoli di questa minaccia e adottino misure di sicurezza per proteggere i propri sistemi, come l’installazione di software antivirus aggiornati e l’evitare di eseguire file sconosciuti o non firmati. Inoltre, è fondamentale che gli sviluppatori di app e i provider di servizi adottino misure di sicurezza robuste per proteggere i propri utenti e prevenire la diffusione di malware come il MacSync Stealer.
