Az új MacSync-trükk: a Gatekeepernek esélye sincs

A MacSync egyik legújabb variánsa digitálisan aláírt, hitelesített Swift-alkalmazásként érkezik macOS-es gépekre, így könnyedén megkerüli az Apple szigorú Gatekeeper-védelmét. Korábban a támadók egyszerűbb, drag-to-Terminal- vagy ClickFix-trükkökkel terjesztették a kártevőt, de most jóval professzionálisabb módszert használnak: a telepítő egy zk-call-messenger-installer-3.9.2-lts.dmg nevű lemezképfájlon keresztül, a https://zkcall.net/download címről tölthető le, mindenféle bonyolult parancssoros lépés nélkül.

Digitális aláírás, könnyű bejutás

A Jamf biztonsági szakértői szerint a MacSync aktuális változata érvényes digitális aláírás mellett volt képes települni és átjutni a macOS Gatekeeper ellenőrzésén. A Mach-O bináris kódaláírással és Apple-hitelesítéssel is rendelkezett, a fejlesztői csapat azonosítója GNJLS3UYZ4 volt – ezt az Apple-nek jelentették, így a tanúsítványt később visszavonták.

Trükkök és elhárító mechanizmusok

Az új MacSync dropper – vagyis a kártékony telepítő – titkosított formában érkezik, majd dekódolás után a klasszikus MacSync Stealer jeleit mutatja. Többféle védekezést alkalmaz: hamis PDF-ekkel 25,5 MB-ra növeli a DMG-fájl méretét, törli a futtatási láncban használt skripteket, és internetelérés-ellenőrzést végez, hogy elkerülje a sandboxkörnyezeteket.

Jelszavakat, kulcsokat, pénztárcákat lop

A stealer először 2025 áprilisában jelent meg Mac.C néven, mögötte a „Mentalpositive” álnéven ismert támadó áll. Rövid időn belül a macOS-es jelszólopók szűk, de jövedelmező piacának egyik szereplője lett. Képes ellopni az iCloud-kulcstartót, böngészőjelszavakat, rendszeradatokat, kriptotárcákat és fájlokat. Maga a fejlesztő is elismeri, hogy a szigorodó Apple-hitelesítés jelentős hatással volt a kártevő új verzióira.

2025, adrienne, www.bleepingcomputer.com alapján