Actualización del troyano en macOS: propagación a través de una aplicación firmada con cifrado de datos de usuario aumenta el riesgo de sigilo

BlockBeats News, 23 de diciembre, el Director de Seguridad de SlowMist, 23pds, compartió una publicación indicando que el malware MacSync Stealer activo en la plataforma macOS ha mostrado una evolución significativa, con activos de usuarios ya robados. El artículo compartido por él mencionó que, desde técnicas iniciales que dependían de "arrastrar y soltar en la terminal" y "ClickFix" para atraer fácilmente, ha evolucionado hacia la firma de código y la utilización de aplicaciones Swift notarizadas por Apple, mejorando significativamente su capacidad de ocultamiento.

Los investigadores descubrieron que esta muestra se está distribuyendo en forma de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, disfrazada como una aplicación de mensajería instantánea o utilidad para atraer a los usuarios a descargarla. A diferencia de versiones anteriores, la nueva versión ya no requiere ninguna operación en la terminal por parte del usuario, sino que es descargada y ejecutada por un asistente Swift incorporado desde un servidor remoto para llevar a cabo el proceso de robo de información.

Este malware ha sido firmado y notarizado con éxito por Apple, con el ID de equipo de desarrollador GNJLS3UYZ4, y los hashes relacionados no habían sido revocados por Apple en el momento del análisis. Esto significa que goza de una mayor "confiabilidad" bajo el mecanismo de seguridad predeterminado de macOS, lo que facilita eludir la vigilancia del usuario. La investigación también descubrió que el archivo DMG tiene un tamaño inusualmente grande, conteniendo archivos señuelo como PDFs relacionados con LibreOffice para reducir aún más las sospechas.

Los investigadores de seguridad señalaron que este tipo de troyanos robadores de información suelen apuntar a datos de navegadores, credenciales de cuentas e información de monederos de criptomonedas. A medida que el malware abusa cada vez más de los mecanismos de firma y notarización de Apple, los usuarios de criptomonedas en el entorno macOS enfrentan riesgos crecientes de phishing y exposición de claves privadas.