Una nuova variante del malware MacSync per macOS sta attirando l’attenzione per una tecnica di distribuzione più subdola del solito. Invece di puntare su metodi rumorosi come il trascinamento nel Terminale o trucchi che spingono l’utente a eseguire comandi manuali, questa campagna usa un installer falso che si presenta come applicazione di messaggistica e, soprattutto, risulta firmato e notarizzato. Questo dettaglio è cruciale per la sicurezza macOS, perché una app firmata e notarizzata può superare i controlli di Apple Gatekeeper e avviarsi senza i blocchi tipici riservati al software non attendibile.
Il campione osservato viene distribuito in un file DMG con un nome che richiama un installer legittimo. All’interno è presente una applicazione Swift che funge da dropper, cioè il componente che prepara il terreno e scarica il payload finale. Anche se la notarizzazione dovrebbe ridurre i rischi per l’utente, gli attaccanti includono comunque indicazioni per aprire l’app tramite click destro e Open, una procedura spesso usata per aggirare avvisi e restrizioni quando qualcosa non va come previsto. In seguito, Apple ha revocato il certificato di firma associato, ma la finestra di esposizione può essere sufficiente per compromettere molti sistemi.
Una volta eseguito, il dropper effettua controlli per aumentare affidabilità e furtività. Verifica la connettività Internet, applica un intervallo minimo di esecuzione di circa 3600 secondi per limitare la frequenza con cui il processo si ripete, e rimuove attributi di quarantena prima di validare ed eseguire i file recuperati. Il download del payload avviene tramite curl con opzioni insolite rispetto a varianti precedenti, una scelta che suggerisce un tentativo di eludere regole di rilevamento basate su pattern noti e di gestire meglio ambienti con proxy o restrizioni di rete.
Un altro elemento di evasione è la dimensione del DMG, gonfiata fino a oltre 25 MB includendo documenti PDF non correlati, così da confondere analisi automatiche e filtri basati su euristiche. Il payload finale, codificato in Base64, corrisponde a MacSync, evoluzione e rebranding di una famiglia di stealer macOS comparsa nel 2025 e associata a capacità più ampie della semplice sottrazione dati, con funzioni di comando e controllo remoto. Il caso conferma una tendenza crescente nel malware macOS: far passare minacce come applicazioni legittime tramite firma e notarizzazione per aumentare il tasso di infezione.
