Pesquisadores de segurança identificaram uma nova variante do MacSync, um stealer voltado para macOS, que agora é distribuída como um aplicativo Swift assinado e notarizado, em vez de depender de cadeias de execução como ClickFix ou drag‑to‑terminal. Essa mudança permite que o malware contorne o Gatekeeper e reduza alertas de “desenvolvedor não identificado”, já que a aplicação aparenta ser legítima e aprovada pela Apple.
Abuso de certificados de desenvolvedor e engenharia social
Segundo a Jamf Threat Labs, os operadores obtêm certificados de desenvolvedor válidos por meio de roubo, compra de contas comprometidas ou criação de empresas falsas com identidades fraudulentas, o que lhes permite assinar o binário e submetê‑lo à notarização. A campanha mais recente finge ser um mensageiro online chamado zk‑Call, com um instalador distribuído em imagem de disco volumosa e páginas de download que imitam um serviço de chamadas e mensagens da Estônia, aumentando a taxa de instalação entre usuários atraídos pelo aplicativo.
Capacidade de roubo de dados e backdoor persistente
Apesar da mudança no empacotamento, o MacSync mantém e expande suas capacidades de roubo de informações, podendo instalar backdoors para controle remoto do sistema, extrair dados armazenados localmente, coletar histórico e credenciais de navegadores e mirar carteiras de criptomoedas. Os pesquisadores observaram um tamanho de imagem de disco em torno de 25,5 MB, indicando componentes embutidos adicionais e funcionalidades mais amplas em comparação às versões anteriores, que eram mais leves e operavam quase inteiramente em memória.
Infraestrutura de comando e controle foco em focusgroovy[.]com
A Jamf identificou o domínio focusgroovy[.]com como servidor de comando e controle usado para buscar payloads adicionais durante a infecção, domínio que hoje já é sinalizado por navegadores como suspeito de phishing. Esse C2 é utilizado para baixar e executar scripts codificados, potencialmente atualizando o comportamento do stealer ou adicionando novos módulos de espionagem sem exigir nova instalação pelo usuário.
Vetores de distribuição e recomendações para usuários de macOS
Embora o vetor exato de distribuição ainda não esteja totalmente esclarecido, as hipóteses incluem campanhas de malvertising, perfis falsos em redes sociais, manipulação de resultados de busca e e‑mails de spear phishing que direcionam para a página de download adulterada. Especialistas recomendam que usuários de macOS evitem baixar aplicativos fora da App Store ou de sites de desenvolvedores bem estabelecidos, desconfiem de softwares “milagrosos” encontrados via anúncios e mantenham soluções de segurança com detecção comportamental capazes de identificar malware mesmo quando assinado e notarizado.






