¿Crees que los virus sólo atacan a Windows? Felicidades: 2025 te demostrará lo contrario.

La nueva versión del stealer para macOS MacSync aprendió a llegar a los ordenadores de las víctimas casi «como un programa normal»: según los datos Jamf, el programa se distribuye como una aplicación Swift firmada, empaquetada en un DMG. Ese enfoque difiere notablemente de iteraciones anteriores, donde los atacantes con mayor frecuencia confiaban en artimañas menos elegantes como «arrastrar a Terminal» o ClickFix —ahora el usuario no necesita interactuar directamente con la línea de comandos.

Según Jamf, el instalador está dentro de una imagen de disco llamada zk-call-messenger-installer-3.9.2-lts.dmg y se distribuye a través de la página de descargas en zkcall.net. Al momento del análisis la aplicación tenía una firma digital válida y superaba las comprobaciones de Gatekeeper —el mecanismo de protección de macOS. Al examinar el binario Mach-O (compilación universal) los investigadores confirmaron que estaba firmado y notariado, y que la firma está asociada al Developer Team ID GNJLS3UYZ4.

Sin embargo, la situación cambió después de que Jamf informara directamente a Apple sobre el certificado: fue revocado. No obstante, el propio esquema de distribución muestra que los autores del malware se adaptan deliberadamente a los requisitos del ecosistema macOS e intentan parecer lo más legítimos posible en las primeras etapas de la infección.

MacSync llega al sistema en forma codificada a través de un dropper: tras decodificar la carga útil, los investigadores observaron señales características de este stealer. Además, se señalan mecanismos de evasión del análisis: la imagen DMG se «hincha» hasta 25,5 MB añadiendo PDFs distractores en su interior, limpian los scripts de la cadena de ejecución y, antes de iniciar, verifican la conexión a internet —así resulta más fácil evitar sandboxes y entornos aislados.

El propio stealer apareció en abril de 2025 bajo el nombre Mac.C, y su autor se atribuye a un actor de amenazas con el seudónimo Mentalpositive. Para julio ganó popularidad e ingresó en el nicho de stealers para macOS relativamente raros pero rentables junto a AMOS y Odyssey. En un análisis anterior de Mac.C por MacPaw Moonlock se indicó que el malware puede robar datos de iCloud Keychain, contraseñas de navegadores, metadatos del sistema, datos de billeteras criptográficas y archivos del sistema de archivos.

Un detalle curioso de una entrevista que Mentalpositive concedió al investigador g0njxa: el autor afirmó que los planes de desarrollo se vieron más afectados por el endurecimiento de la política de notarización de aplicaciones en macOS 10.14.5 y versiones posteriores. A juzgar por la manera en que está montada la campaña reciente, esa afirmación no fue en vano —las nuevas versiones detectadas «en el campo» claramente intentan sortear las barreras habituales de confianza en macOS.