Os utilizadores de computadores Mac enfrentam uma nova ameaça sofisticada. Uma variante recente do malware MacSync, desenhada para roubar informações sensíveis, está a ser distribuída sob a forma de uma aplicação Swift legítima, devidamente assinada e autenticada, conseguindo assim contornar as proteções de segurança nativas do sistema operativo.
Segundo a análise detalhada da Jamf, esta nova abordagem representa uma evolução significativa face às iterações anteriores, que dependiam de táticas menos refinadas e mais suspeitas para os utilizadores.
Evolução perigosa e aparência legítima
Ao contrário das versões passadas, que recorriam a truques como o "drag-to-Terminal" (arrastar para o Terminal) ou táticas de correção de erros falsas (ClickFix), esta nova variante apresenta-se como um software profissional. O malware é entregue através de uma imagem de disco com o nome zk-call-messenger-installer-3.9.2-lts.dmg, simulando ser uma aplicação de comunicação legítima.
O aspeto mais alarmante desta campanha é que, no momento da análise, a aplicação possuía uma assinatura de programador válida associada ao ID de equipa "GNJLS3UYZ4". Isto permitia que o software malicioso passasse incólume pelo Gatekeeper, o sistema de segurança do macOS que impede a execução de aplicações não fidedignas.
Os investigadores confirmaram que o binário era uma construção universal, codificada e autenticada pela própria Apple. Felizmente, após a denúncia direta da situação, a empresa de Cupertino revogou o certificado, impedindo que novas instalações ocorram sem alertas de segurança.
Técnicas de evasão e roubo de dados
Para além da assinatura válida, o MacSync emprega várias técnicas para evitar ser detetado por ferramentas de análise e ambientes de teste (sandboxes). O ficheiro DMG é artificialmente "insuflado" para 25,5 MB através da inclusão de PDFs falsos, uma técnica usada para confundir scanners de segurança. Além disso, o malware verifica a conectividade à internet antes de executar a sua carga maliciosa e apaga os scripts utilizados na cadeia de execução para eliminar o rastro.
Este "ladrão de informação" surgiu originalmente em abril de 2025, conhecido como "Mac.C", e é atribuído a um ator de ameaças denominado 'Mentalpositive'. Desde julho que tem vindo a ganhar tração no submundo do cibercrime, juntando-se a outros malwares conhecidos como o AMOS e o Odyssey.
Uma vez instalado no sistema, o MacSync tem capacidades devastadoras: consegue extrair credenciais do porta-chaves do iCloud (iCloud Keychain), palavras-passe guardadas em navegadores web, metadados do sistema, ficheiros do disco e, crucialmente, dados de carteiras de criptomoedas.
O criador do malware revelou recentemente que as políticas de autenticação de aplicações mais rigorosas da Apple foram, ironicamente, o principal impulsionador para o desenvolvimento destas técnicas mais avançadas, forçando os criminosos a investir em métodos de aparência legítima para infetar as vítimas.
Nenhum comentário
Seja o primeiro!