MacSync Stealer, el malware para Mac que ha evolucionado hasta convertirse en una amenaza silenciosa notariada por Apple
El 'malware' MacSync Stealer ha evolucionado hasta convertirse en una amenaza silenciosa para los ordenadores de Apple, en los que se instala bajo la apariencia de una aplicación escrita en Swift, firmada y notariada por la compañía tecnológica antes de desplegar su acciones malintencionadas.
MacSync Stealer es un 'malware' diseñado para el robo de información en los ordenadores Mac infectados, que habitualmente se instala en el equipo de la víctima con técnicas similares a las de ClickFix, mediante el 'copia y pega' de un código malicioso.
Una nueva variante ha superado esta técnica, que requiere una acción por parte de la víctima, para adoptar un enfoque sin intervención, que logra engañar al usuario al presentarse como una aplicación legítima para Apple, como un servicio de mensajería.
El 'malware' es, en una primera fase, una aplicación escrita en Swift, el lenguaje de programación de Apple, que cuenta con una firma asociada a la ID de un desarrollador y ha sido notariada por la propia compañía tecnológica.
La aplicación se distribuye en una imagen de disco de gran tamaño (25,5 MB) que, como explican desde Jamf Threat Labs en un análisis, "parece estar inflada por archivos señuelo incrustados en el paquete de la aplicación".
Una vez se ejecuta en el ordenador, el 'malware' realiza un análisis del entorno, incluida la conexión a internet, para determinar si todo está en orden para conectarse a un servidor y descargar e instalar el código malicioso en una segunda fase.
"Este cambio en la distribución refleja una tendencia más amplia en el panorama del 'malware' para macOS, donde los atacantes intentan cada vez más introducir su 'malware' en ejecutables firmados y notariados, lo que les permite simular aplicaciones legítimas. Al aprovechar estas técnicas, los atacantes reducen las posibilidades de ser detectados a tiempo", han comentado los analistas de Jamf Threat Labs.
Tras ser informado por la empresa de ciberseguridad, Apple ha revocado la certificación del ID del equipo de desarrolladores.
