Alerta de seguridad: La nueva variante MacSync burla las defensas de macOS, según Jamf y SlowMist

Un malware renovado está desafiando la supuesta fortaleza de los sistemas Apple. Jamf, especialista en gestión empresarial de dispositivos Apple, y la firma de ciberseguridad blockchain SlowMist, han lanzado una advertencia conjunta: una variante actualizada de 'MacSync' está eludiendo con éxito los controles de seguridad nativos de macOS.

La amenaza mutante

Esta no es la primera vez que MacSync aparece en el radar, pero su nueva iteración muestra capacidades de evasión mejoradas. El malware opera silenciosamente, explotando vectores que le permiten sortear Gatekeeper y otras protecciones integradas, instalando cargas maliciosas sin levantar sospechas inmediatas. Los atacantes buscan datos sensibles, credenciales y potencial acceso a carteras digitales, un recordatorio de que ningún ecosistema es inmune.

Un ecosistema bajo presión

El incidente pone de relieve la creciente sofisticación de las campañas dirigidas contra plataformas consideradas tradicionalmente más seguras. Para los usuarios corporativos y los holders de criptoactivos que confían en Mac para operar, es una llamada de atención. La seguridad por diseño no es suficiente frente a adversarios persistentes y bien financiados.

La respuesta necesaria

Las recomendaciones son claras: extremar la higiene digital, aplicar parches de inmediato, emplear soluciones de seguridad de terceros y mantener un escepticismo saludable ante cualquier descarga o archivo inesperado. En un mundo donde la superficie de ataque se expande hacia las finanzas digitales, la complacencia tiene un precio—y a menudo se paga en tokens, no en dólares.

Al final, la noticia sirve como un cínico recordatorio para el sector financiero: mientras los traders se obsesionan con los gráficos de velas y el fear & greed index, los actores maliciosos están escribiendo código que puede vaciar cuentas mucho más rápido que cualquier corrección del mercado. La seguridad no es un feature, es la base.

Slowmist afirma que la información del usuario ya fue robada 

En una publicación de X, el director de seguridad de la información de Slowmist, 23pds, afirmó que hay una nueva variante de MacSync que elude el sistema de seguridad del guardián de macOS y que ya ha secuestrado la información de muchos usuarios. 

Según 23pds, para evadir la detección, esta variante emplea técnicas como la inflación de archivos, la verificación de la conexión de red y scripts de autodestrucción tras su ejecución. Supuestamente, puede robar datos confidenciales como llaveros de iCloud, contraseñas de navegador y monederos de criptomonedas. 

La advertencia vino adjunta a un blog de Jamf Threat Labs, informando que este no es su primer contacto con MacSync. 

Según informes, el malware ladrón de información dirigido a macOS surgió por primera vez en abril de 2025 como "Mac.C", desarrollado por un actor de amenazas conocido como "Mentalpositive". Poco después, cambió su nombre a MacSync, lo que rápidamente le valió tracentre los ciberdelincuentes.

Para protegerse, descargue aplicaciones únicamente de la Mac App Store o de sitios web de desarrolladores confiables, mantenga su macOS y sus aplicaciones actualizados, utilice herramientas de seguridad de punto final/antivirus confiables que detecten amenazas de macOS y tenga cuidado con los archivos o instaladores .dmg inesperados, especialmente aquellos que prometen herramientas relacionadas con criptografía o mensajería.

¿Existe un nuevo malware para MacSync? 

Según se informa, la muestra en cuestión parecía muy similar a variantes anteriores del malware MacSync Stealer, cada vez más activo, pero con un diseño renovado. Se diferenciaba de las variantes anteriores de MacSync Stealer, que se basaban principalmente en técnicas de arrastrar a la terminal o similares a ClickFix, ya que empleaba un enfoque más engañoso y sin intervención. 

Según se informa, la muestra se entrega como una aplicación Swift firmada y notariada dentro de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg, distribuida a través de https://zkcall.net/download.

Esto elimina la necesidad de interacción directa con la terminal. En su lugar, el dropper recupera un script codificado de un servidor remoto y lo ejecuta mediante un ejecutable auxiliar creado en Swift

Jamf Threat Labs también observó que el ladrón de información Odyssey adopta métodos de distribución similares en variantes recientes. Expresaron su sorpresa al comprobar que la conocida instrucción de apertura con clic derecho sigue presente en la nueva muestra, a pesar de que el ejecutable está firmado y no requiere este paso.

Tras inspeccionar el binario de Mach-O, que es una compilación universal, confirmamos que está firmado en código y certificado. La firma está asociada al ID del equipo de desarrollo GNJLS3UYZ4, afirmaron. 

Se aseguraron de verificar los hashes del directorio de códigos con la lista de revocación de Apple y, en el momento del análisis, dijeron que ninguno había sido revocado.

Otra observación notable es el tamaño inusualmente grande de la imagen del disco (25,5 MB), que según dijeron parece estar inflada por archivos señuelo incrustados en el paquete de la aplicación. 

En el momento del análisis, algunas de las muestras subidas a VirusTotal fueron detectadas por un solo motor antivirus, mientras que otras fueron detectadas por hasta trece. Tras confirmar que el ID del equipo de desarrolladores se utilizó para distribuir cargas maliciosas, Jamf Threat Labs lo informó a Apple. Desde entonces, el certificado asociado ha sido revocado.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !