Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нов MacSync dropper за малициозен софтвер ги заобиколува macOS Gatekeeper проверките

Објавено: 23.12.2025

Најновата варијанта на MacSync малициозниот софтвер за кражба на информации што ги таргетира macOS системите се испорачува преку дигитално потпишана и нотаризирана Swift апликација.

Истражувачите за безбедност од платформата за управување со Apple уреди Jamf велат дека овој метод на дистрибуција претставува значајна еволуција во однос на претходните итерации кои користеа помалку софистицирани техники како „повлечи-во-Терминал“ или ClickFix.

„Испорачана како код-потпишана и нотаризирана Swift апликација во рамки на диск-слика со име zk-call-messenger-installer-3.9.2-lts.dmg, дистрибуирана преку https://zkcall.net/download, таа ја отстранува потребата од било каква директна интеракција со Терминалот,“ наведуваат истражувачите во извештај објавен денес.

Валиден дигитален потпис и нотаризација

Во моментот на анализата, Jamf наведува дека најновата варијанта на MacSync имала валиден потпис и можела да ги заобиколи проверките на Gatekeeper, безбедносниот систем во macOS.

„По инспекција на Mach-O бинарниот фајл, кој е универзален билд, потврдивме дека тој е и код-потпишан и нотаризиран. Потписот е поврзан со Developer Team ID GNJLS3UYZ4,“ објаснува Jamf.

Сепак, по директна пријава на сертификатот до Apple, истиот во меѓувреме е повлечен (revoked).

Малициозниот софтвер се испорачува на системот преку dropper во енкодиран облик. По декодирањето на payload-от, истражувачите ги откриле вообичаените карактеристики на MacSync Stealer.

Деобфусцираниот payload

Истражувачите забележаа дека stealer‑от содржи неколку механизми за избегнување детекција, вклучувајќи вештачко зголемување на DMG фајлот на 25,5 MB со вметнување лажни (decoy) PDF документи, бришење на скриптите што се користат во синџирот на извршување, како и проверки за интернет конекција пред извршување, со цел да се избегнат sandbox околини.

Содржината на надуената диск-слика

Stealer‑от се појави во април 2025 како Mac.C од страна на напаѓач наречен ‘Mentalpositive’. Тој доби поголема видливост до јули, приклучувајќи се во помалку населен, но сè уште профитабилен сегмент на macOS stealers заедно со AMOS и Odyssey.

Претходна анализа на Mac.C од MacPaw Moonlock укажува дека тој може да краде iCloud keychain креденцијали, лозинки зачувани во веб-прелистувачи, системски метаподатоци, податоци од крипто-паричници и фајлови од фајл-системот.

Интересно, во интервју што Mentalpositive го дал на истражувачот g0njxa во септември, авторот на малициозниот софтвер изјавил дека воведувањето на поцврста политика за нотаризација на апликации во macOS 10.14.5 и понатаму имало најголемо влијание врз нивните планови за развој, што се одразува и во најновите верзии фатени во дивината.

Извори:

  • Bleeping Computer – New MacSync malware dropper evades macOS Gatekeeper checks Bleeping Computer