Екосистема macOS остаточно перестала бути малопривабливою ціллю для кіберзлочинців. Останній приклад — оновлена версія стилера MacSync, яка поширюється не через скрипти або сумнівні інсталятори, а як повністю підписаний і нотаризований Apple Swift-додаток. Така модель доставки дозволяє шкідливому ПЗ виглядати як легітимне програмне забезпечення й значно підвищує ймовірність успішного зараження користувачів macOS.
Підписаний Swift-додаток як канал доставки стилера MacSync
Аналітики компанії Jamf виявили новий зразок MacSync у вигляді образу диска zk-call-messenger-installer-3.9.2-lts.dmg, який завантажувався з сайту zkcall[.]net/download. Всередині DMG містився Swift-додаток, що поводився як стандартний інсталятор мессенджера. На відміну від ранніх версій MacSync, користувачу більше не потрібно запускати команди у Terminal чи відкривати підозрілі скрипти — достатньо просто стартувати «установник».
На момент аналізу цей додаток мав дійсний цифровий підпис, успішно проходив перевірку Gatekeeper і був нотаризований Apple. Підпис прив’язувався до Developer Team ID GNJLS3UYZ4. Після повідомлення від Jamf сертифікат відкликали, однак сам факт його використання демонструє, що зловмисники активно зловживають механізмами довіри Apple і здатні виводити шкідливе ПЗ на систему навіть за формальної відповідності всім вимогам платформи.
Технічні особливості MacSync: дроппер, маскування та ухилення від детектування
Зараження починається з дроппера — компонента, який містить закодований пейлоад. Після розкодування дослідники виявили характерні артефакти сімейства MacSync. Стилер реалізований як нативний Mach-O бінарний файл, що забезпечує тісну інтеграцію з macOS і зменшує кількість типовий сигнатур, за якими антивірус міг би розпізнати загрозу. Це ускладнює виявлення як класичними AV-рішеннями, так і деякими системами статичного аналізу.
Для обходу аналізу і детектування MacSync використовує низку захисних технік. Розмір DMG штучно збільшено до приблизно 25,5 МБ за рахунок вбудованих PDF-файлів-приманок — це ускладнює автоматизований статичний аналіз і маскує справжній вміст. Під час виконання шкідливий код видаляє допоміжні скрипти, що брали участь у запуску, тим самим ускладнюючи відновлення повної ланки атаки. Додатково стилер перевіряє наявність інтернет-з’єднання перед активацією, що допомагає уникати запуску в ізольованих середовищах дослідження або «пісочницях» без доступу до мережі.
Походження MacSync і його місце серед стилерів для macOS
Вперше це сімейство було зафіксовано у квітні 2025 року під позначенням Mac.C. Повідомлялося, що стилер розроблений хакером під ніком Mentalpositive. Уже до липня MacSync закріпився на кримінальному ринку як один із помітних інструментів для атак на macOS, поряд з іншими стилерами, такими як AMOS та Odyssey. Зростання попиту пояснюється тим, що macOS все ширше використовується у бізнес-середовищі, а викрадені облікові дані та криптоактиви мають високу вартість на тіньових майданчиках.
Які дані викрадає стилер MacSync на macOS
За даними аналізу Mac.C, проведеного фахівцями MacPaw Moonlock, стилер MacSync здатен збирати широкий спектр конфіденційної інформації. Насамперед він націлений на облікові дані з iCloud Keychain, збережені у браузерах паролі, куки та дані автозаповнення. Окрім цього, збираються системні метадані (інформація про пристрій, версію ОС, встановлені додатки), дані криптовалютних гаманців, а також окремо вибрані файли з файлової системи користувача.
Комбінація цих даних дозволяє зловмисникам проводити подальші атаки: угон акаунтів у хмарних сервісах і соцмережах, фінансове шахрайство, цільовий фішинг, спроби шантажу та довготривалий шпигунський моніторинг за жертвами або організаціями.
Чому підпис і нотаризація Apple не гарантують безпеку
Кейс MacSync наочно демонструє: навіть підписане і нотаризоване Apple додаток не є абсолютною гарантією безпеки. Сертифікати розробників можуть бути вкрадені, придбані на підпільних форумах або зареєстровані на підставні компанії. У результаті Gatekeeper бачить перед собою «коректно оформлений» додаток і пропускає його, а користувач, орієнтуючись на системні попередження, сприймає таке ПЗ як надійне.
У низці організацій політики безпеки все ще будуються за принципом «якщо macOS пропускає інсталяцію, значить, це безпечно». Для сучасного ландшафту загроз це уже не працює. Механізми довіри Apple залишаються важливим бар’єром, але їх необхідно доповнювати багаторівневим захистом, моніторингом поведінки додатків та контролем джерел встановлення програмного забезпечення.
Як захистити macOS від стилерів і підписаних шкідливих додатків
По-перше, не варто розглядати перевірку Gatekeeper і наявність цифрового підпису як достатню умову безпеки. Важливо регулярно оновлювати macOS та вбудовані механізми захисту, а також використовувати додаткові рішення класу EDR/анти-малварь від перевірених постачальників, здатні виявляти підозрілу поведінку, а не лише сигнатури.
По-друге, максимально обмежуйте джерела встановлення ПЗ. Перевагу слід віддавати Mac App Store та добре відомим офіційним сайтам вендорів. Перед завантаженням перевіряйте доменні імена на наявність підробок (typosquatting), за можливості звіряйте хеші інсталяторів і репутацію розробника за відгуками та згадками в авторитетних джерелах.
По-третє, дотримуйтесь принципу мінімальних привілеїв. Не надавайте додаткам зайвий доступ до файлової системи, паролів, криптогаманців та чутливих каталогів. Особливо уважно ставтеся до запитів на доступ до «Доступу до зв’язки ключів» (Keychain), екрану, папки «Документи» та інших конфіденційних областей. Для організацій критично важливо впроваджувати навчання співробітників, політики управління додатками (application control) та постійний моніторинг підозрілої активності робочих станцій.
Ускладнення технік розповсюдження, продемонстроване MacSync, показує, що користувачам macOS більше не можна покладатися лише на бренд Apple, підпис і нотаріат. Поєднання технологічних засобів захисту, уважного ставлення до джерел ПЗ, обмеження прав додатків та постійного відстеження нових загроз суттєво знижує ризик крадіжки паролів, даних iCloud Keychain, криптоактивів і конфіденційних файлів за допомогою подібних стилерів. Найкращий час переглянути власну стратегію безпеки macOS і посилити захист — до того, як черговий «підписаний інсталятор» перетвориться на точку входу для зловмисників.
