Actualización del troyano para macOS: se propaga a través de una aplicación firmada y el cifrado de datos de usuario aumenta el riesgo de sigilo

BlockBeats News, 23 de diciembre, el Director de Seguridad de SlowMist, 23pds, compartió una publicación indicando que el malware MacSync Stealer, activo en la plataforma macOS, ha mostrado una evolución significativa, con activos de usuarios ya robados. El artículo compartido por él mencionó que, desde técnicas iniciales que dependían de "arrastrar y soltar en la terminal" y "ClickFix" para atraer fácilmente, ha evolucionado hacia la firma de código y el uso de aplicaciones Swift notarizadas por Apple, mejorando significativamente su capacidad de ocultamiento.

Los investigadores descubrieron que esta muestra se está distribuyendo en forma de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, disfrazada como una aplicación de mensajería instantánea o utilidad para atraer a los usuarios a descargarla. A diferencia de versiones anteriores, la nueva versión ya no requiere ninguna operación en la terminal por parte del usuario, sino que es descargada y ejecutada por un asistente Swift incorporado desde un servidor remoto para llevar a cabo el proceso de robo de información.

Este malware ha sido firmado y notarizado exitosamente por Apple, con el ID de equipo de desarrollador GNJLS3UYZ4, y los hashes relacionados no habían sido revocados por Apple al momento del análisis. Esto significa que goza de una mayor "confiabilidad" bajo el mecanismo de seguridad predeterminado de macOS, facilitando eludir la vigilancia del usuario. La investigación también descubrió que el archivo DMG tiene un tamaño inusualmente grande, conteniendo archivos señuelo como PDFs relacionados con LibreOffice para disminuir aún más las sospechas.

Investigadores de seguridad señalaron que este tipo de troyanos roba-información suelen apuntar a datos de navegadores, credenciales de cuentas e información de billeteras de criptomonedas. A medida que el malware abusa cada vez más de los mecanismos de firma y notarización de Apple, los usuarios de criptomonedas en el entorno macOS enfrentan riesgos crecientes de phishing y exposición de claves privadas.