Actualización del troyano en macOS: se disfraza como una aplicación firmada para propagarse, exponiendo a los usuarios de criptomonedas a riesgos más ocultos.

BlockBeats informó que, el 23 de diciembre, el Director de Seguridad de la Información de SlowMist, 23pds, compartió que el malware MacSync Stealer, activo en la plataforma macOS, ha mostrado una evolución significativa y ya se han reportado robos de activos de usuarios. El artículo que compartió menciona que, desde los métodos iniciales de engaño de bajo nivel como "arrastrar al terminal" o "ClickFix", el malware ha evolucionado a aplicaciones Swift firmadas con código y notarizadas por Apple, aumentando considerablemente su capacidad de ocultamiento.

Investigadores descubrieron que este ejemplar se distribuye en forma de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, haciéndose pasar por una aplicación de mensajería instantánea o herramienta para inducir a los usuarios a descargarla. A diferencia de versiones anteriores, la nueva versión no requiere que el usuario realice ninguna acción en el terminal, sino que un programa auxiliar interno en Swift descarga y ejecuta scripts codificados desde un servidor remoto, completando así el proceso de robo de información.

Este software malicioso ya cuenta con firma de código y ha sido notarizado por Apple, con el ID de equipo de desarrollador GNJLS3UYZ4, y los hashes relacionados no habían sido revocados por Apple al momento del análisis. Esto significa que, bajo los mecanismos de seguridad predeterminados de macOS, tiene un mayor nivel de "confianza" y es más fácil que pase desapercibido para los usuarios. Además, los investigadores detectaron que el archivo DMG es inusualmente grande e incluye archivos señuelo como PDFs relacionados con LibreOffice, para reducir aún más las sospechas.

Los investigadores de seguridad señalaron que este tipo de troyanos de robo de información suelen tener como principales objetivos los datos del navegador, credenciales de cuentas e información de billeteras cripto. A medida que el malware comienza a abusar sistemáticamente de los mecanismos de firma y notarización de Apple, los usuarios de criptoactivos en entornos macOS enfrentan un riesgo creciente de phishing y filtración de claves privadas.