Novo malware MacSync burla o Gatekeeper do macOS usando aplicativo assinado pela Apple

Pesquisadores identificaram uma nova variante do MacSync, um malware do tipo stealer voltado para macOS, que utiliza um aplicativo digitalmente assinado e notarizado para driblar os mecanismos de segurança da Apple, como o Gatekeeper e o XProtect. O ataque chama atenção por adotar técnicas mais sofisticadas de evasão, fazendo o malware se passar por um instalador legítimo de aplicativo de mensagens.

De acordo com pesquisadores da Jamf, essa versão do MacSync representa uma evolução em relação a variantes anteriores, que dependiam fortemente de truques como arrastar arquivos para o terminal ou falsas correções técnicas (ClickFix). Agora, os hackers apostam em uma abordagem mais silenciosa e automatizada, reduzindo a interação do usuário e aumentando as chances de sucesso da infecção.

A campanha distribui o malware por meio de um arquivo DMG chamado “zk-call-messenger-installer-3.9.2-lts.dmg”, hospedado em um site que imita um serviço legítimo. Por estar devidamente assinado e notarizado, o instalador consegue ser executado sem alertas iniciais do sistema operacional. Mesmo assim, o aplicativo ainda exibe instruções para que o usuário clique com o botão direito e selecione “Abrir”, uma técnica comum usada por hackers para contornar verificações adicionais do macOS. Após a descoberta, a Apple revogou o certificado de assinatura utilizado no ataque.

O instalador, escrito em Swift, atua como um dropper e realiza diversas verificações antes de baixar a carga maliciosa principal. Entre elas estão a checagem de conectividade com a internet, a imposição de um intervalo mínimo de execução de cerca de uma hora (como forma de rate limit) e a remoção de atributos de quarentena dos arquivos. Em seguida, um script codificado é baixado e executado por meio de um componente auxiliar.

Os pesquisadores também destacaram mudanças sutis, porém relevantes, na forma como o malware utiliza o comando curl para baixar o payload. A alteração nos parâmetros e o uso de variáveis dinâmicas indicam uma tentativa clara de aumentar a confiabilidade da infecção e, ao mesmo tempo, dificultar a detecção por soluções de segurança.

Outro ponto curioso da campanha é o uso de um arquivo DMG anormalmente grande, com cerca de 25,5 MB, inflado propositalmente pela inclusão de documentos PDF irrelevantes. Essa técnica ajuda a mascarar o conteúdo real do instalador e reduzir suspeitas durante análises superficiais.

Após a decodificação, o payload Base64 revela o próprio MacSync, uma versão rebatizada do malware Mac.c, observado pela primeira vez em abril de 2025. Diferentemente de stealers mais simples, o MacSync incorpora um agente desenvolvido em Go, com funcionalidades completas de comando e controle remoto, permitindo que hackers executem ações adicionais nos sistemas comprometidos.

Especialistas alertam que essa estratégia reflete uma tendência crescente no ecossistema de malware para macOS: a utilização de aplicativos assinados e notarizados para fazer códigos maliciosos parecerem legítimos. Esse movimento aumenta significativamente o risco para usuários e empresas que confiam apenas nos controles nativos do sistema operacional para se proteger.

Via - THN