Вредоносное ПО, атакующее пользователей macOS с весны прошлого года, в какой-то момент получило действующую цифровую подпись и прошло процедуру нотариального заверения Apple. Это позволило ему обходить встроенные защитные механизмы операционной системы.
Эксперты по кибербезопасности из Jamf обнаружили обновлённую версию похитителя данных MacSync, которая распространяется в виде приложения на Swift, имеющего цифровую подпись и нотариальное заверение. Как следствие, средства защиты macOS воспринимают этот вредонос как легитимное и доверенное приложение.
Данный подход значительно эффективнее предыдущих методов, которые в основном полагались на тактику ClickFix или требовали от пользователя ручного перетаскивания файлов в окно терминала.
Согласно данным исследователей Jamf, вредонос содержится в образе диска с названием zk-call-messenger-installer-3.9.2-lts.dmg.
Самые свежие варианты MacSync снабжены валидной цифровой подписью, выданной авторизованным разработчиком Apple с идентификатором GNJLS3UYZ4.
После того как о ситуации стало известно Apple, соответствующий сертификат был аннулирован.
Непосредственная доставка вредоноса в систему осуществляется с помощью зашифрованного дроппера. После его расшифровки аналитики обнаружили в MacSync Stealer ряд неожиданных особенностей.
Программа использует сразу несколько техник для усложнения обнаружения, включая искусственное увеличение размера DMG-файла до 25,5 мегабайт за счёт добавления PDF-документов-"пустышек", полное удаление скриптов, используемых при запуске, а также проверку наличия интернет-соединения непосредственно перед активацией, чтобы убедиться, что система не является песочницей для анализа.
Впервые MacSync был замечен в апреле 2025 года под обозначением Mac.C, а к июлю уже получил широкое распространение в даркнете.
Специалисты группы MacPaw Moonlock, изучив код, выяснили, что вредонос способен похищать учётные данные iCloud, пароли из браузеров, системные метаданные, информацию с криптокошельков, а также произвольные файлы из файловой системы.
Создатель вредоноса, известный под псевдонимом Mentalpositive, в диалоге со своим оппонентом, экспертом по безопасности g0njxa, отметил, что ужесточение политики нотариального заверения приложений в macOS 10.14.15 сильнее всего повлияло на процесс разработки MacSync. Именно это и отразилось в новых перехваченных образцах.
«Репутация macOS как исключительно защищённой платформы порой оборачивается её уязвимостью, ведь владельцы таких устройств в среднем реже готовятся к возможным кибератакам, — отмечает Никита Павлов, специалист по кибербезопасности из компании SEQ. — Apple, безусловно, эффективно противостоит угрозам, однако игнорировать их существование было бы ошибкой. Вредоносная программа MacSync служит тому наглядным и довольно серьёзным подтверждением».
По словам эксперта, ключевым уязвимым звеном в распространении этого вируса остаётся требование загрузить его с ненадёжного источника: подобный шаг всегда сопряжён с опасностью.
