Macsync

Pesquisadores de cibersegurança descobriram uma nova variante do malware MacSync, um ladrão de informações para macOS, que é distribuído por meio de um aplicativo Swift assinado digitalmente e notariado, disfarçado como instalador de um aplicativo de mensagens. Essa abordagem visa contornar as verificações de segurança da Apple, como o Gatekeeper. Ao contrário de variantes anteriores que utilizavam técnicas de arrastar para o terminal, esta versão adota uma abordagem mais enganosa e automatizada. O instalador, nomeado ‘zk-call-messenger-installer-3.9.2-lts.dmg’, foi encontrado em um site específico e, apesar de ser assinado, exibe instruções para que os usuários abram o aplicativo manualmente, uma tática comum para evitar bloqueios. O dropper em Swift realiza várias verificações antes de baixar e executar um script codificado, incluindo a validação da conectividade com a internet e a remoção de atributos de quarentena. Além disso, a nova variante apresenta mudanças significativas na forma como o payload é recuperado, utilizando comandos que visam melhorar a confiabilidade e evitar detecções. A inclusão de documentos PDF irrelevantes no DMG também serve como uma técnica de evasão, aumentando o tamanho do arquivo para 25,5 MB. O MacSync, uma versão rebranded do Mac.c, possui capacidades de controle remoto além do roubo de dados, refletindo uma tendência crescente de malware que se disfarça como aplicativos legítimos.