Firmato, Sigillato, Consegnato: MacSync Stealer si Infiltra in macOS dalla Porta Principale di Apple

Per anni, gli utenti Mac hanno considerato la notarizzazione delle app e la firma del codice di Apple come un fossato digitale - una garanzia che ciò che viene eseguito sui loro dispositivi sia sicuro. Ma una nuova variante di MacSync Stealer ha appena infranto questa illusione, passando inosservata sia agli utenti che alle difese di Apple, fingendosi un’applicazione completamente approvata. Il tuo Mac è davvero sicuro come pensi?

Dentro la Campagna MacSync Stealer

Secondo le ricerche di Jamf Threat Labs, questa variante di MacSync Stealer abbandona i goffi trucchi che richiedono l’assistenza dell’utente per un nuovo approccio “hands-off”: la distribuzione tramite un’applicazione Swift notarizzata incorporata in un’immagine disco (zk-call-messenger-installer-3.9.2-lts.dmg). L’installer, una volta avviato, scarica silenziosamente un payload da un server remoto - senza prompt, senza segnali d’allarme.

Come funziona? Al centro c’è un eseguibile chiamato runtimectl, che verifica la connettività internet e registra la propria attività, tutto mentre si mimetizza tra i processi legittimi di macOS. Archivia i file in cartelle dal nome innocuo come ~/Library/Application Support/UserSyncWorker/, e addirittura gonfia il proprio bundle con PDF esca per aumentarne le dimensioni e distrarre dal vero scopo.

Rilevamento? Minimo. I campioni su VirusTotal mostrano che solo un motore antivirus riconosce la minaccia, di solito come downloader generico. Il vero payload viene recuperato tramite un comando curl personalizzato, con sottili variazioni nei flag per eludere le difese di rete e i proxy. Prima dell’esecuzione, il malware rimuove i flag di quarantena di macOS e ripulisce le proprie tracce, minimizzando le prove forensi.

L’infrastruttura di comando e controllo di questa campagna sfrutta domini già collegati a MacSync, mantenendo la persistenza ed esfiltrando i dati rubati con inquietante efficienza. L’uso da parte degli aggressori di un ID sviluppatore Apple legittimo (ora revocato) sottolinea una tendenza crescente: i cybercriminali sfruttano i meccanismi di fiducia di Apple per minare la sicurezza di macOS dall’interno.

Gli esperti di sicurezza avvertono che la firma del codice e la notarizzazione non sono più sufficienti. Utenti e amministratori devono adottare controlli avanzati contro le minacce e abilitare il rilevamento in modalità blocco per restare al passo con minacce in evoluzione come MacSync Stealer.

Conclusione: Fidarsi è bene, controllare è meglio

L’ultima campagna MacSync Stealer è un campanello d’allarme per la comunità macOS. Anche le protezioni più affidabili di Apple possono essere rivolte contro gli utenti. Man mano che gli attaccanti diventano più sofisticati, la vigilanza - supportata da controlli di sicurezza moderni e stratificati - non è più opzionale. Nell’era del malware firmato e notarizzato, la fiducia deve essere guadagnata, non data per scontata.

WIKICROOK

• Notarizzazione: La notarizzazione è il processo di Apple per analizzare e approvare le app per la sicurezza, aiutando a prevenire l’esecuzione di malware sui Mac prima della distribuzione.
• Firma del Codice: La firma del codice è il processo di firma digitale del software per dimostrare che proviene da una fonte affidabile e non è stato manomesso.
• Payload: Un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, consegnata tramite email o file malevoli quando la vittima interagisce con essi.
• Persistenza: La persistenza comprende le tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
• Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi malevoli.