Считаете, что вирусы только на Windows? Поздравляем, 2025 год вас переубедит
Вредонос MacSync научился проходить Gatekeeper благодаря подписанному Swift-приложению.
Новая версия macOS-стилера MacSync научилась попадать на компьютеры жертв почти «как нормальная программа»: по данным Jamf, программу распространяют в виде подписанного Swift-приложения, упакованного в DMG. Такой подход заметно отличается от прежних итераций, где злоумышленники чаще полагались на менее изящные приёмы вроде «перетащи в Терминал» или ClickFix — теперь пользователю не нужно напрямую взаимодействовать с командной строкой.
По описанию Jamf, установщик находится внутри образа диска с названием zk-call-messenger-installer-3.9.2-lts.dmg и распространяется через страницу загрузки на zkcall.net. На момент анализа приложение имело действующую цифровую подпись и проходило проверки Gatekeeper — защитного механизма macOS. При изучении Mach-O-бинарника (универсальная сборка) исследователи подтвердили, что он и подписан, и нотарифицирован, а подпись связана с Developer Team ID GNJLS3UYZ4.
Впрочем, ситуация изменилась после того, как Jamf напрямую сообщила Apple о сертификате: его отозвали. Тем не менее сама схема доставки показывает, что авторы вредоноса целенаправленно подстраиваются под требования экосистемы macOS и пытаются выглядеть максимально легитимно на ранних этапах заражения.
На систему MacSync попадает в закодированном виде через дроппер: после декодирования полезной нагрузки исследователи увидели характерные признаки именно этого стилера. Отдельно отмечаются механизмы уклонения от анализа: образ DMG «раздувают» до 25,5 МБ, добавляя внутрь отвлекающие PDF-файлы, скрипты из цепочки выполнения подчищают, а перед запуском выполняют проверку наличия интернет-соединения — так проще избегать песочниц и изолированных сред.
Сам стилер появился в апреле 2025 года под именем Mac.C, а его автором называют актёра угроз под псевдонимом Mentalpositive. К июлю он набрал популярность и вошёл в нишу относительно редких, но прибыльных macOS-стилеров рядом с AMOS и Odyssey. В более раннем разборе Mac.C от MacPaw Moonlock говорилось, что вредонос способен похищать данные iCloud Keychain, пароли из браузеров, системные метаданные, данные криптокошельков и файлы из файловой системы.
Любопытная деталь из интервью, которое Mentalpositive давал исследователю g0njxa: автор утверждал, что сильнее всего на планы разработки повлияло ужесточение политики нотарификации приложений в macOS 10.14.5 и более поздних версиях. Судя по тому, как устроена свежая кампания, этот тезис не был пустыми словами — новые версии, пойманные «в поле», явно стараются обходить привычные барьеры доверия в macOS.