Экосистема macOS давно перестала быть «малопривлекательной» для киберпреступников. Очередное подтверждение этому — обновленная версия стилера MacSync, распространяемая не через примитивные скрипты, а в составе полностью подписанного и нотаризованного Apple Swift-приложения. Такой подход позволяет вредоносу выглядеть как законное ПО и заметно повышает шансы на успешное заражение.
Подписанное Swift-приложение как канал доставки MacSync
Исследователи компании Jamf обнаружили новый образец MacSync, скрытый в образе диска zk-call-messenger-installer-3.9.2-lts.dmg, распространяемом через сайт zkcall[.]net/download. Внутри DMG-файла находится приложение на Swift, запущенное как обычный установщик мессенджера. В отличие от ранних версий MacSync, пользователю больше не нужно перетаскивать команды в терминал или кликать по сомнительным скриптам — достаточно стандартного запуска инсталлятора.
На момент анализа вредоносное приложение имело валидную цифровую подпись и успешно проходило проверку Gatekeeper. Исследователи подтвердили, что Mach-O бинарный файл был не только подписан, но и нотариализован Apple, а подпись была привязана к Developer Team ID GNJLS3UYZ4. После уведомления со стороны Jamf данный сертификат был аннулирован, однако сам факт его использования показывает, что злоумышленники все активнее злоупотребляют механизмами доверия Apple.
Технические особенности и методы уклонения стилера MacSync
Вредонос попадает в систему через дроппер, содержащий закодированный пейлоад. После декодирования эксперты обнаружили характерный для семейства MacSync набор функций и артефактов. Стилер реализован как нативный Mach-O бинарник, что обеспечивает хорошую интеграцию с macOS и уменьшает количество сигнатурных индикаторов, по которым его может обнаружить антивирус.
Новая версия MacSync использует целый набор техник уклонения от детектирования. Размер DMG-файла искусственно увеличен до ~25,5 МБ за счет встроенных PDF-документов-приманок, что усложняет статический анализ и маскирует истинное содержимое. В ходе выполнения малварь удаляет вспомогательные скрипты, используемые в цепочке запуска, тем самым затрудняя восстановление сценария атаки. Дополнительно MacSync проверяет наличие интернет-соединения перед активацией — это помогает избегать запуска в изолированных исследовательских средах и автоматизированных песочницах без доступа в сеть.
Происхождение MacSync и его место среди стилеров для macOS
Впервые это семейство было зафиксировано в апреле 2025 года под обозначением Mac.C. Тогда сообщалось, что стилер разработан хакером под ником Mentalpositive. Уже к июлю MacSync закрепился на криминальном рынке как один из заметных инструментов для атак на macOS, заняв место рядом с другими известными стилерами — AMOS и Odyssey. Популярность подобных инструментов объясняется тем, что macOS все активнее используется в бизнесе, а украденные учетные данные и криптоактивы имеют высокую ценность на теневых площадках.
Какие данные крадет MacSync
Анализ Mac.C, проведенный специалистами MacPaw Moonlock, показал, что MacSync способен собирать широкий спектр конфиденциальной информации. В частности, стилер нацелен на учетные данные из iCloud Keychain, сохраненные в браузерах пароли, куки и автозаполнение, системные метаданные (информация об устройстве, версии ОС, установленных приложениях), данные криптовалютных кошельков, а также выбранные файлы из файловой системы. Комбинация этих данных позволяет злоумышленникам проводить последующие атаки: угон аккаунтов, финансовое мошенничество, целевой фишинг и шпионаж.
Когда подпись и нотариат Apple перестают быть гарантом безопасности
Использование подписанного и нотариализованного приложения в цепочке заражения MacSync демонстрирует важный тренд: механизмы доверия, такие как сертификаты разработчиков и нотариат Apple, активно эксплуатируются злоумышленниками. Пользователи и даже некоторые корпоративные политики по-прежнему полагаются на принцип «если приложение прошло Gatekeeper, значит оно безопасно». На практике сертификаты могут быть украдены, куплены на подпольных форумах или зарегистрированы на подставные данные, что позволяет криминальным группировкам распространять малварь под видом законного ПО.
Рекомендации по защите macOS от стилеров и вредоносных приложений
Во-первых, не стоит воспринимать проверку Gatekeeper и наличие цифровой подписи как абсолютную гарантию безопасности. Необходимо регулярно обновлять macOS и встроенные средства защиты, но одновременно применять дополнительные решения класса EDR/антималварь от надежных поставщиков.
Во-вторых, по возможности следует загружать программы только из Mac App Store или с хорошо известных официальных сайтов, внимательно проверяя доменные имена и наличие подделок. При работе с малоизвестными продуктами имеет смысл дополнительно проверять репутацию разработчика и хэши установочных файлов.
В-третьих, важно минимизировать объем предоставляемых прав: не выдавать приложениям лишний доступ к файловой системе, паролям и криптокошелькам, внимательно относиться к запросам на доступ к «Доступу к связке ключей» и другим чувствительным разрешениям. Для организаций критично внедрять обучение сотрудников, политикам по управлению приложениями и мониторинг подозрительной активности на рабочих станциях.
Усложнение техник распространения, демонстрируемое MacSync, показывает, что пользователям macOS больше нельзя полагаться только на бренд Apple и системные механизмы нотариата. Комбинация технических средств защиты, осознанного поведения пользователей и постоянного мониторинга новых угроз — ключ к снижению риска кражи паролей, данных iCloud Keychain и финансовых активов с помощью подобных стилеров.
