Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của phần mềm đánh cắp thông tin macOS có tên là MacSync. Phần mềm này được phân phối thông qua một ứng dụng Swift được ký điện tử và chứng thực, ngụy trang thành trình cài đặt ứng dụng nhắn tin để vượt qua các kiểm tra Gatekeeper của Apple.
"Không giống như các biến thể MacSync Stealer trước đây chủ yếu dựa vào các kỹ thuật kéo-thả vào Terminal hoặc ClickFix, mẫu này áp dụng một phương pháp lừa đảo tinh vi hơn, ít cần tương tác," nhà nghiên cứu Thijs Xhaflaire của Jamf cho biết.
Công ty quản lý thiết bị Apple và công ty bảo mật này cho biết phiên bản mới nhất được phân phối dưới dạng ứng dụng Swift đã được ký mã và chứng thực trong một tệp ảnh đĩa (DMG) có tên "zk-call-messenger-installer-3.9.2-lts.dmg" được lưu trữ trên "zkcall[.]net/download."
Việc ứng dụng được ký và chứng thực có nghĩa là nó có thể chạy mà không bị chặn hoặc gắn cờ bởi các biện pháp kiểm soát bảo mật tích hợp như Gatekeeper hoặc XProtect. Mặc dù vậy, trình cài đặt vẫn hiển thị hướng dẫn yêu cầu người dùng nhấp chuột phải và mở ứng dụng – một chiến thuật phổ biến được sử dụng để lách các biện pháp bảo vệ này. Apple kể từ đó đã thu hồi chứng chỉ ký mã.
Cơ chế hoạt động của MacSync
Dropper dựa trên Swift sau đó thực hiện một loạt các kiểm tra trước khi tải xuống và thực thi một script được mã hóa thông qua một thành phần hỗ trợ. Điều này bao gồm xác minh kết nối internet, áp dụng khoảng thời gian thực thi tối thiểu khoảng 3600 giây để thực thi giới hạn tốc độ, và xóa các thuộc tính cách ly cũng như xác thực tệp trước khi thực thi.
"Đáng chú ý, lệnh curl được sử dụng để truy xuất payload cho thấy sự khác biệt rõ ràng so với các biến thể trước đây," Xhaflaire giải thích. "Thay vì sử dụng kết hợp -fsSL thường thấy, các cờ đã được tách thành -fL và -sS, và các tùy chọn bổ sung như --noproxy đã được thêm vào."
Một cơ chế né tránh khác được sử dụng trong chiến dịch là việc sử dụng một tệp DMG có kích thước lớn bất thường, làm tăng dung lượng lên 25.5 MB bằng cách nhúng các tài liệu PDF không liên quan.
"Những thay đổi này, cùng với việc sử dụng các biến được điền động, cho thấy một sự thay đổi có chủ ý trong cách tải và xác thực payload, có thể nhằm mục đích cải thiện độ tin cậy hoặc né tránh phát hiện."
MacSync: Biến thể của Mac.c với khả năng C2
Sau khi được phân tích, payload được mã hóa Base64 tương ứng với MacSync, một phiên bản đổi tên của Mac.c xuất hiện lần đầu vào tháng 4 năm 2025. MacSync, theo Moonlock Lab của MacPaw, được trang bị một tác nhân Go-based đầy đủ tính năng, không chỉ đánh cắp dữ liệu đơn thuần mà còn cho phép các khả năng điều khiển và kiểm soát từ xa.
Cần lưu ý rằng các phiên bản tệp DMG độc hại đã được ký mã, bắt chước Google Meet, cũng đã được quan sát thấy trong các cuộc tấn công phát tán các phần mềm đánh cắp thông tin macOS khác như Odyssey. Dù vậy, các tác nhân đe dọa vẫn tiếp tục dựa vào các ảnh đĩa không được ký để phát tán DigitStealer gần đây nhất là vào tháng trước.
"Sự thay đổi trong phương thức phân phối này phản ánh một xu hướng rộng hơn trong bối cảnh phần mềm độc hại macOS, nơi kẻ tấn công ngày càng cố gắng đưa phần mềm độc hại của chúng vào các tệp thực thi đã được ký và chứng thực, khiến chúng trông giống như các ứng dụng hợp pháp hơn," Jamf cho biết.
