Lors de l'examen des détections de ses règles YARA internes, Jamf Threat Labs affirme avoir observé un voleur signé et notarié qui ne suivait pas les chaînes d'exécution typiques observées dans le passé.

Selon 23pds de Slowmist, ce voleur est une nouvelle variante de la variante MacSync célèbre pour contourner la sécurité de macOS.

Slowmist affirme que les informations des utilisateurs ont déjà été volées.

Dans un post X, le responsable de la sécurité de l'information de Slowmist, 23pds, a déclaré qu'il existe une nouvelle variante de MacSync qui contourne le système de sécurité du gatekeeper de macOS, et elle a déjà détourné les informations de nombreux utilisateurs.

Selon 23pds, pour échapper à la détection, la variante utilise des techniques telles que l'inflation de fichiers, la vérification de connexion réseau et des scripts d'autodestruction après exécution. Elle peut apparemment voler des données sensibles telles que des porte-clés iCloud, des mots de passe de navigateur et des portefeuilles crypto.

L'avertissement est venu attaché à un blog de Jamf Threat Labs, rapportant que ce n'est pas son premier contact avec MacSync.

Le malware d'infostealer ciblant macOS a apparemment émergé pour la première fois en avril 2025 sous le nom de « Mac.C », développé par un acteur malveillant connu sous le nom de « Mentalpositive ». Il a été rebaptisé MacSync peu après, ce qui a rapidement gagné du terrain parmi les cybercriminels.

Pour vous protéger, téléchargez uniquement des applications depuis le Mac App Store ou des sites de développeurs de confiance, maintenez votre macOS et vos applications à jour, utilisez des outils antivirus/de sécurité des points de terminaison réputés qui détectent les menaces macOS, et soyez prudent avec les fichiers .dmg ou les installateurs inattendus, en particulier ceux promettant des outils liés à la crypto ou à la messagerie.

Y a-t-il un nouveau malware MacSync ?

L'échantillon en question semblait apparemment très similaire aux variantes passées du malware MacSync Stealer de plus en plus actif, mais a été rénové dans son design. Il différait des anciennes variantes de MacSync Stealer qui s'appuyaient principalement sur des techniques de glisser-déposer vers le terminal ou de type ClickFix, car il adopte une approche plus trompeuse et passive.

L'échantillon est apparemment livré en tant qu'application Swift signée et notarized dans une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, distribuée via https://zkcall.net/download.

Cela supprime le besoin d'une interaction directe avec le terminal. Au lieu de cela, le dropper récupère un script encodé à partir d'un serveur distant et l'exécute via un exécutable d'assistance construit en Swift.

Jamf Threat Labs a également observé que l'infostealer Odyssey adopte des méthodes de distribution similaires dans des variantes récentes. Ils ont exprimé leur surprise que l'instruction familière d'ouverture par clic droit soit toujours présente dans le nouvel échantillon, même si l'exécutable est signé et ne nécessite pas cette étape.

« Après avoir inspecté le binaire Mach-O, qui est une construction universelle, nous avons confirmé qu'il est à la fois signé et notarized. La signature est associée à l'ID de l'équipe de développement GNJLS3UYZ4 », ont-ils affirmé.

Ils ont veillé à vérifier les hachages du répertoire de code par rapport à la liste de révocation d'Apple et, au moment de l'analyse, ont déclaré qu'aucun n'avait été révoqué.

Une autre observation notable est la taille inhabituellement grande de l'image disque (25,5 Mo), qui, selon eux, semble avoir été gonflée par des fichiers leurres intégrés dans le bundle de l'application.

Au moment de l'analyse, certains des échantillons téléchargés sur VirusTotal n'étaient détectés que par un seul moteur antivirus, tandis que d'autres étaient signalés par jusqu'à treize. Après avoir confirmé que l'ID de l'équipe de développement avait été utilisé pour distribuer des charges utiles malveillantes, Jamf Threat Labs l'a signalé à Apple. Depuis lors, le certificat associé a été révoqué.

Les esprits crypto les plus intelligents lisent déjà notre newsletter. Vous voulez participer ? Rejoignez-les.