Actualización del troyano en macOS: se disfraza como una aplicación firmada para propagarse, los usuarios de criptomonedas enfrentan riesgos más ocultos

BlockBeats Noticias, 23 de diciembre, el director de seguridad de la información de SlowMist, 23pds, compartió que el malware MacSync Stealer, activo en la plataforma macOS, ha mostrado una evolución significativa y ya ha habido usuarios que han sufrido el robo de sus activos. El artículo que compartió menciona que, desde los primeros métodos de engaño de bajo umbral como "arrastrar al terminal" o "ClickFix", el malware ha evolucionado a aplicaciones Swift firmadas con código y notarizadas por Apple, lo que mejora notablemente su capacidad de ocultamiento.

Los investigadores descubrieron que esta muestra se distribuye en forma de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, y engaña a los usuarios para que la descarguen haciéndose pasar por aplicaciones de mensajería instantánea o herramientas. A diferencia de versiones anteriores, la nueva versión no requiere que el usuario realice ninguna operación en el terminal; en su lugar, un programa auxiliar integrado en Swift descarga y ejecuta scripts codificados desde un servidor remoto para completar el proceso de robo de información.

Este programa malicioso ya ha sido firmado con código y notarizado por Apple, con un ID de equipo de desarrollador GNJLS3UYZ4, y los hashes relacionados no habían sido revocados por Apple al momento del análisis. Esto significa que, bajo los mecanismos de seguridad predeterminados de macOS, tiene una "credibilidad" más alta y es más fácil que pase desapercibido para los usuarios. La investigación también encontró que el tamaño de este DMG es inusualmente grande e incluye archivos señuelo como PDFs relacionados con LibreOffice, para reducir aún más las sospechas.

Los investigadores de seguridad señalan que este tipo de troyanos de robo de información suelen tener como objetivo principal los datos del navegador, credenciales de cuentas e información de billeteras de criptomonedas. A medida que el malware comienza a abusar sistemáticamente de los mecanismos de firma y notarización de Apple, los usuarios de criptoactivos en entornos macOS enfrentan un riesgo creciente de phishing y filtración de claves privadas.