Nova variante do malware MacSync burla a segurança do macOS, alertam Jamf e SlowMist

Parece que os Macs não são tão impenetráveis quanto a Apple gostaria que você acreditasse. Uma nova variante do malware MacSync está cortando as defesas do macOS, segundo alertas conjuntos da Jamf e da SlowMist. A ameaça evoluiu, e os sistemas que muitos consideravam fortalezas digitais estão mostrando rachaduras.

A brecha na armadura

A sofisticação da nova variante é o que preocupa. Ela não apenas se infiltra; ela se disfarça e manipula processos do sistema para evitar detecção. Os mecanismos de segurança nativos do macOS, frequentemente elogiados, estão sendo contornados com uma eficiência perturbadora. É um lembrete brutal de que, em segurança cibernética, a complacência é o maior vetor de ataque.

O alvo silencioso

O modus operandi sugere que os atacantes não estão atrás do usuário comum. O foco parece ser a coleta silenciosa de dados e o estabelecimento de uma presença persistente. Para profissionais que lidam com informações sensíveis – pense em desenvolvedores de carteiras digitais ou traders – essa é uma notícia particularmente gelada. Seu dispositivo pode estar comprometido sem que um único pop-up alarmante apareça na tela.

Um golpe duplo para a confiança

O alerta vem de duas fontes de peso: a Jamf, especialista em gestão de dispositivos Apple para empresas, e a SlowMist, uma firma de segurança blockchain de renome. Quando especialistas em ecossistemas tradicional e cripto soam o alarme juntos, é hora de prestar atenção. A intersecção desses mundos destaca como as ameaças são transversais. Enquanto isso, no mercado financeiro tradicional, alguns ainda discutem se 'cyber' é um risco coberto pelo seguro – uma piada cínica, considerando o preço da falha.

O que isso significa para você? Não espere por um aviso. Atualizações de segurança não são sugestões; são obrigações. Ferramentas de terceiros reputadas já não são um luxo, mas uma necessidade. No fim, a segurança é uma camada abaixo do logotipo brilhante. E hoje, essa camada precisa de um reforço urgente.

A Slowmist alega que as informações do usuário já foram roubadas 

Em uma postagem no X, o Diretor de Segurança da Informação da Slowmist, 23pds, afirmou que existe uma nova variante do MacSync que burla o sistema de segurança Gatekeeper do macOS e que já teria roubado informações de muitos usuários. 

Segundo a 23pds, para evitar a detecção, a variante emprega técnicas como desinflação de arquivos, verificação de conexão de rede e scripts de autodestruição após a execução. Ela pode roubar dados sensíveis como chaves do iCloud, senhas de navegadores e carteiras de criptomoedas. 

O alerta veio anexado a uma postagem no blog do Jamf Threat Labs, relatando que este não é o primeiro contato da empresa com o MacSync. 

O malware de roubo de informações direcionado ao macOS teria surgido pela primeira vez em abril de 2025 como “Mac.C”, desenvolvido por um grupo de ameaças conhecido como “Mentalpositive”. Pouco tempo depois, foi renomeado para MacSync, nome que rapidamente o tornou tracentre os cibercriminosos.

Para se proteger, baixe aplicativos somente da Mac App Store ou de sites de desenvolvedores confiáveis, mantenha seu macOS e aplicativos atualizados, use ferramentas antivírus/de segurança de endpoint confiáveis que detectem ameaças ao macOS e tenha cautela com arquivos .dmg ou instaladores inesperados, especialmente aqueles que prometem ferramentas relacionadas a criptografia ou mensagens.

Existe algum novo malware para MacSync? 

A amostra em questão era, segundo relatos, muito semelhante a variantes anteriores do malware MacSync Stealer, cada vez mais ativo, mas teve seu design reformulado. Ela diferia das variantes anteriores do MacSync Stealer, que se baseavam principalmente em técnicas de arrastar e soltar arquivos no terminal ou no estilo ClickFix, por empregar uma abordagem mais enganosa e sem interação direta. 

A amostra é supostamente entregue como um aplicativo Swift com assinatura digital e autenticação em cartório, dentro de uma imagem de disco chamada zk-call-messenger-installer-3.9.2-lts.dmg, distribuída através do site https://zkcall.net/download.

Isso elimina a necessidade de qualquer interação direta com o terminal. Em vez disso, o dropper recupera um script codificado de um servidor remoto e o executa por meio de um executável auxiliar criado em Swift

O Jamf Threat Labs também observou que o infostealer Odyssey adota métodos de distribuição semelhantes em variantes recentes. Eles expressaram surpresa com o fato de a instrução familiar de abrir o arquivo clicando com o botão direito ainda estar presente na nova amostra, mesmo que o executável seja assinado e não exija essa etapa.

“Após inspecionarmos o binário do Mach-O, que é uma versão universal, confirmamos que ele possui assinatura digital e autenticação notarial. A assinatura está associada ao ID da Equipe de Desenvolvimento GNJLS3UYZ4”, afirmaram. 

Eles se certificaram de verificar os hashes do diretório de código em relação à lista de revogação da Apple e, no momento da análise, afirmaram que nenhum havia sido revogado.

Outra observação notável foi o tamanho excepcionalmente grande da imagem do disco (25,5 MB), que, segundo eles, parece estar inflado por arquivos falsos incorporados no pacote do aplicativo. 

No momento da análise, algumas das amostras enviadas ao VirusTotal foram detectadas por apenas um mecanismo antivírus, enquanto outras foram sinalizadas por até treze. Após confirmar que o ID da Equipe de Desenvolvedores foi usado para distribuir payloads maliciosos, o Jamf Threat Labs relatou o ocorrido à Apple. Desde então, o certificado associado foi revogado.

Aprimore sua estratégia com mentoria + ideias diárias - 30 dias de acesso gratuito ao nosso programa de negociação