Jamf Threat Labs ha publicado un informe sobre una nueva variante de malware MacSync Stealer.
MacSync Stealer surgió hace aproximadamente medio año, como una nueva marca de Mac.c, un ladrón de información de macOS que se vio por primera vez en abril de 2025.
Mac.c era una alternativa barata a los ladrones de macOS establecidos y fue adquirido por un desarrollador de malware que rápidamente expandió sus capacidades y lo convirtió en una amenaza importante.
Además de las capacidades de robo de información heredadas de Mac.c, MacSync Stealer fue equipado con capacidades de puerta trasera a través de un agente basado en Go con todas las funciones.
Detección de la variante del malware MacSync Stealer
En concreto, Jamf Threat Labs detectó un stelaer firmado y notariado que no seguía las típicas cadenas de ejecución observadas en el pasado. La muestra en cuestión parecía muy similar a variantes anteriores del malware MacSync Stealer, cada vez más activo, pero con un diseño renovado.
A diferencia de las variantes anteriores de MacSync Stealer que se basan principalmente en técnicas de arrastrar a la terminal o de estilo ClickFix, esta muestra adopta un enfoque más engañoso y sin intervención.
Noticias relacionadas
Curiosamente, Jamf Threat Labs también ha observado que el ladrón de información Odyssey adopta métodos de distribución similares en variantes recientes. Sorprendentemente, la conocida instrucción de apertura con clic derecho sigue presente en esta muestra, a pesar de que el ejecutable está firmado y no requiere este paso.
La mayoría de las cargas útiles relacionadas con MacSync Stealer tienden a ejecutarse principalmente en memoria y dejan poco o ningún rastro en el disco. Las variantes anteriores suelen ser detectadas por los controles de amenazas avanzados de Jamf, ya que suelen basarse en un método de arrastrar a la terminal, donde los usuarios sueltan un archivo de script en la Terminal, o en una técnica similar a ClickFix que engaña a los usuarios para que peguen un… base64Comando codificado. En ambos casos, la carga útil se decodifica mediante base64 -D, descomprimido con gunzip, almacenado en una variable y ejecutado usando eval. Esto da como resultado la obtención de una carga útil de segunda etapa a través de curl.
“Este cambio en la distribución refleja una tendencia más amplia en el panorama del malware de macOS, donde los atacantes intentan cada vez más introducir su malware en ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas”, señala Jamf.
