Digitális aláírás, könnyű bejutás
A Jamf biztonsági szakértői szerint a MacSync aktuális változata érvényes digitális aláírás mellett volt képes települni és átjutni a macOS Gatekeeper ellenőrzésén. A Mach-O bináris kódaláírással és Apple-hitelesítéssel is rendelkezett, a fejlesztői csapat azonosítója GNJLS3UYZ4 volt – ezt az Apple-nek jelentették, így a tanúsítványt később visszavonták.
Trükkök és elhárító mechanizmusok
Az új MacSync dropper – vagyis a kártékony telepítő – titkosított formában érkezik, majd dekódolás után a klasszikus MacSync Stealer jeleit mutatja. Többféle védekezést alkalmaz: hamis PDF-ekkel 25,5 MB-ra növeli a DMG-fájl méretét, törli a futtatási láncban használt skripteket, és internetelérés-ellenőrzést végez, hogy elkerülje a sandboxkörnyezeteket.
Jelszavakat, kulcsokat, pénztárcákat lop
A stealer először 2025 áprilisában jelent meg Mac.C néven, mögötte a „Mentalpositive” álnéven ismert támadó áll. Rövid időn belül a macOS-es jelszólopók szűk, de jövedelmező piacának egyik szereplője lett. Képes ellopni az iCloud-kulcstartót, böngészőjelszavakat, rendszeradatokat, kriptotárcákat és fájlokat. Maga a fejlesztő is elismeri, hogy a szigorodó Apple-hitelesítés jelentős hatással volt a kártevő új verzióira.
