Cybersecurity-onderzoekers hebben een nieuwe variant van een macOS-informatiedief ontdekt, genaamd MacSync dat wordt geleverd door middel van een digitaal ondertekende, notariële Swift-applicatie die zich voordoet als een installatieprogramma voor een berichtenapp om de Gatekeeper-controles van Apple te omzeilen.
“In tegenstelling tot eerdere MacSync Stealer-varianten die voornamelijk afhankelijk zijn van drag-to-terminal- of ClickFix-achtige technieken, hanteert dit voorbeeld een meer misleidende, hands-off benadering”, aldus Jamf-onderzoeker Thijs Xhaflaire.
Het apparaatbeheer- en beveiligingsbedrijf van Apple zei dat de nieuwste versie wordt gedistribueerd als een met code ondertekende en notariële Swift-applicatie in een schijfkopiebestand (DMG) met de naam “zk-call-messenger-installer-3.9.2-lts.dmg” dat wordt gehost op “zkcall(.)net/download.”
Het feit dat het is ondertekend en notarieel bekrachtigd, betekent dat het kan worden uitgevoerd zonder te worden geblokkeerd of gemarkeerd door ingebouwde beveiligingscontroles zoals Gatekeeper of XProtect. Desondanks blijkt dat het installatieprogramma instructies weergeeft waarin gebruikers worden gevraagd met de rechtermuisknop te klikken en de app te openen – een veel voorkomende tactiek die wordt gebruikt om dergelijke beveiligingen te omzeilen. Apple heeft sindsdien het code-ondertekeningscertificaat ingetrokken.
De op Swift gebaseerde dropper voert vervolgens een reeks controles uit voordat een gecodeerd script wordt gedownload en uitgevoerd via een helpercomponent. Dit omvat het verifiëren van de internetverbinding, het afdwingen van een minimaal uitvoeringsinterval van ongeveer 3600 seconden om een snelheidslimiet af te dwingen, het verwijderen van quarantainekenmerken en het valideren van het bestand vóór uitvoering.
“Met name het curl-commando dat wordt gebruikt om de lading op te halen, vertoont duidelijke afwijkingen van eerdere varianten”, legt Xhaflaire uit. “In plaats van de vaak voorkomende combinatie -fsSL te gebruiken, zijn de vlaggen opgesplitst in -fL en -sS, en zijn er extra opties zoals –noproxy geïntroduceerd.”
“Deze veranderingen, samen met het gebruik van dynamisch bevolkte variabelen, wijzen op een opzettelijke verschuiving in de manier waarop de lading wordt opgehaald en gevalideerd, waarschijnlijk gericht op het verbeteren van de betrouwbaarheid of het omzeilen van detectie.”
Een ander ontwijkingsmechanisme dat in de campagne wordt gebruikt, is het gebruik van een ongewoon groot DMG-bestand, dat door het insluiten van niet-gerelateerde PDF-documenten tot 25,5 MB wordt vergroot.
De Base64-gecodeerde payload komt, eenmaal geparseerd, overeen met MacSync, een nieuwe merkversie van Mac.c die voor het eerst verscheen in april 2025. MacSync is, volgens Moonlock Lab van MacPaw, uitgerust met een volledig functionele Go-gebaseerde agent die verder gaat dan eenvoudige gegevensdiefstal en commando- en controlemogelijkheden op afstand mogelijk maakt.
Het is vermeldenswaard dat met code ondertekende versies van kwaadaardige DMG-bestanden die Google Meet nabootsen, ook zijn waargenomen bij aanvallen die andere macOS-stelers zoals Odyssey propageren. Dat gezegd hebbende, zijn bedreigingsactoren de afgelopen maand nog steeds afhankelijk van niet-ondertekende schijfimages om DigitStealer te leveren.
“Deze verschuiving in de distributie weerspiegelt een bredere trend in het macOS-malwarelandschap, waarbij aanvallers steeds vaker proberen hun malware in uitvoerbare bestanden te sluipen die zijn ondertekend en notarieel bekrachtigd, waardoor ze meer op legitieme applicaties gaan lijken”, aldus Jamf.
