El ecosistema macOS hace tiempo dejó de ser un objetivo marginal para los ciberdelincuentes. La aparición de una versión actualizada del stealer MacSync, distribuida como parte de una aplicación Swift firmada y notarizada por Apple, confirma que los atacantes están dispuestos a explotar incluso los mecanismos de confianza oficiales para maximizar sus tasas de infección.
Distribución de MacSync mediante una aplicación Swift firmada y notarizada
Investigadores de Jamf identificaron un nuevo ejemplar de MacSync oculto en una imagen de disco zk-call-messenger-installer-3.9.2-lts.dmg, disponible en el dominio zkcall[.]net/download. Dentro del archivo DMG se encontraba una aplicación desarrollada en Swift que se presentaba como un instalador legítimo de mensajería, lo que reduce la sospecha por parte del usuario.
A diferencia de variantes anteriores de MacSync, ya no se exige que la víctima ejecute scripts extraños ni arrastre comandos al Terminal. El usuario solo necesita abrir el instalador, un flujo completamente habitual en macOS.
En el momento del análisis, la aplicación maliciosa contaba con una firma digital válida y superaba sin problemas los controles de Gatekeeper. El binario Mach-O estaba no solo firmado, sino también notarizado por Apple, vinculado al Developer Team ID GNJLS3UYZ4. Tras el aviso de Jamf, el certificado fue revocado, pero el caso ilustra cómo los actores maliciosos abusan cada vez más de la infraestructura de certificados de Apple.
MacSync: características técnicas y técnicas de evasión en macOS
El stealer llega al sistema a través de un dropper que contiene un payload codificado. Una vez decodificado, los analistas detectaron rasgos y artefactos propios de la familia MacSync. El código malicioso se implementa como un binario Mach-O nativo, lo que favorece su integración con macOS y reduce indicadores típicos que los motores antivirus basados en firmas suelen detectar.
La nueva variante incorpora varias técnicas de evasión. El tamaño del archivo DMG se infla artificialmente hasta unos 25,5 MB mediante la inclusión de documentos PDF señuelo. Este relleno dificulta el análisis estático y oculta el contenido real del instalador.
Durante la ejecución, el malware elimina los scripts auxiliares empleados en la cadena de infección, dificultando a los analistas reconstruir el flujo completo del ataque. Además, MacSync verifica la conectividad a Internet antes de activarse, una técnica habitual para eludir entornos de análisis automatizados y sandboxes aisladas sin acceso a red.
Origen de MacSync y su papel en el mercado de stealers para macOS
Según los informes disponibles, esta familia se observó por primera vez en abril de 2025 bajo la denominación Mac.C y se atribuyó a un desarrollador conocido como Mentalpositive. En pocos meses, MacSync se consolidó en el mercado criminal como una de las herramientas destacadas para atacar macOS, junto a otros stealers como AMOS y Odyssey.
La demanda de este tipo de malware se explica por el crecimiento del uso de macOS en entornos corporativos y por el alto valor de credenciales de acceso y activos en criptomonedas en mercados clandestinos. Para los atacantes, un único compromiso puede abrir la puerta a campañas de fraude, espionaje o ataques de movimiento lateral dentro de una organización.
Datos que roba MacSync en macOS
El análisis de la variante Mac.C realizado por MacPaw Moonlock muestra que MacSync está diseñado para recolectar una amplia gama de información confidencial en macOS, entre otros:
• iCloud Keychain: credenciales almacenadas en el llavero de iCloud, objetivo especialmente crítico en entornos Apple.
• Navegadores: contraseñas guardadas, cookies, datos de autocompletado y sesiones activas.
• Metadatos del sistema: información del dispositivo, versión de macOS, aplicaciones instaladas y configuración relevante.
• Criptomonedas: datos de wallets y aplicaciones relacionadas con criptoactivos.
• Archivos seleccionados: documentos concretos de la estructura de ficheros, según criterios definidos por el atacante.
Esta combinación permite secuestrar cuentas, ejecutar fraude financiero, lanzar campañas de phishing dirigidas y realizar actividades de vigilancia o espionaje.
Firma y notarizado de Apple: por qué ya no son sinónimo de seguridad
El uso de una aplicación firmada y notarizada para desplegar MacSync pone de relieve un problema estructural: los mecanismos de confianza de Apple pueden ser explotados. Muchos usuarios, e incluso algunas políticas corporativas, siguen asumiendo que “si pasa Gatekeeper, es seguro”.
En la práctica, los certificados de desarrollador pueden ser robados, comprados en foros clandestinos o registrados con identidades falsas. De este modo, grupos criminales empaquetan su malware como si fuera software legítimo, incrementando la probabilidad de ejecución sin alertas visibles para el usuario.
Cómo proteger macOS frente a stealers como MacSync
Para reducir el riesgo de infección por stealers en macOS, es recomendable combinar medidas técnicas y organizativas:
1. No confiar ciegamente en Gatekeeper ni en la firma digital. Mantener macOS y XProtect actualizados, pero complementarlos con soluciones de EDR/antimalware de proveedores reconocidos que ofrezcan detección basada en comportamiento.
2. Limitar las fuentes de descarga. Priorizar el Mac App Store y sitios oficiales conocidos, comprobando cuidadosamente los dominios para evitar imitaciones. En software poco conocido, verificar la reputación del desarrollador y, cuando sea posible, los hashes de los instaladores.
3. Aplicar el principio de mínimo privilegio. Conceder únicamente los permisos estrictamente necesarios: acceso al sistema de archivos, al Keychain o a wallets de criptomonedas solo cuando exista una necesidad clara. Revisar con atención las solicitudes de acceso a “Acceso a llavero” y otros permisos sensibles.
4. Refuerzo en entornos empresariales. Implantar políticas de gestión de aplicaciones, listas de bloqueo y permitidos, y monitorizar activamente comportamientos anómalos en estaciones de trabajo macOS. La formación continua de empleados en higiene digital es clave para reducir el éxito de estas campañas.
La evolución de MacSync demuestra que ya no es suficiente confiar en la marca Apple ni en el notarizado de aplicaciones para considerar un software como seguro. Una combinación de tecnologías de defensa en profundidad, políticas de mínimos privilegios y usuarios conscientes de los riesgos es esencial para proteger contraseñas, datos de iCloud Keychain y activos financieros frente a la nueva generación de stealers dirigidos a macOS.
