Nuevo malware MacSync burla Gatekeeper de macOS para robar criptomonedas

Una nueva variante del malware MacSync está atacando activamente a usuarios de macOS. Investigadores de seguridad advierten de que puede eludir las protecciones integradas de Apple. Es capaz de robar datos sensibles, incluidas carteras de criptomonedas. La alerta fue emitida por SlowMist, después de que su director de seguridad de la información informara de que algunos usuarios ya han sufrido pérdidas de activos. El malware marca un salto en la sofisticación de las amenazas en macOS. A diferencia de versiones anteriores, esta variante evita la detección y, al mismo tiempo, parece legítima para el sistema operativo.

Cómo el malware elude la seguridad de macOS

La nueva variante de MacSync puede saltarse Gatekeeper de macOS, el sistema diseñado para bloquear aplicaciones no confiables. Según los investigadores, el malware emplea varias técnicas en capas para evitar la detección. Entre ellas, el inflado de archivos para camuflar código malicioso, verificaciones de red para confirmar el entorno de ejecución y scripts de autodestrucción que eliminan rastros tras ejecutarse.

Como resultado, el malware suele dejar pocas evidencias en el disco. Una vez ejecutado, apunta a datos altamente sensibles. Esto incluye llaveros de iCloud, contraseñas almacenadas en navegadores y archivos de carteras de criptomonedas. En muchos casos, los atacantes obtienen acceso total antes de que los usuarios se den cuenta de que algo va mal.

El giro hacia malware firmado eleva el riesgo

Un análisis adicional de Jamf Threat Labs muestra que el malware ha evolucionado en su método de distribución. Las versiones anteriores de MacSync dependían de trucos de ingeniería social, como comandos de arrastrar al terminal o la ejecución manual de scripts. Sin embargo, la nueva variante llega como una aplicación Swift firmada y notarizada. Se distribuye dentro de archivos de imagen de disco que parecen instaladores legítimos. Esto le permite superar las comprobaciones iniciales de macOS sin activar advertencias.

Tras el lanzamiento, la aplicación descarga y ejecuta silenciosamente una carga útil de segunda fase. Gran parte de esta actividad se ejecuta en memoria, lo que reduce la probabilidad de detección por herramientas antivirus tradicionales. Los investigadores señalan que esto refleja una tendencia más amplia. Cada vez más malware para macOS utiliza ejecutables firmados y notarizados para aparentar fiabilidad y retrasar su descubrimiento.

Las carteras cripto siguen siendo un objetivo principal

El enfoque del malware en las carteras cripto pone de relieve los riesgos crecientes para los titulares de activos digitales. Una vez que los atacantes extraen claves privadas o datos de recuperación, los fondos robados suelen ser irrecuperables. Los informes indican que algunos usuarios afectados perdieron criptomonedas poco después de la infección. No hubo señales de transacciones forzadas ni de ataques a plataformas de intercambio. En su lugar, los atacantes accedieron directamente a las carteras desde dispositivos comprometidos. Los expertos en seguridad advierten que los usuarios de criptomonedas son especialmente vulnerables. Muchos almacenan carteras, extensiones de navegador y credenciales en portátiles personales sin medidas de protección adicionales.

Qué deben hacer ahora los usuarios

SlowMist instó a los usuarios de macOS a evitar la descarga de software o complementos desde fuentes desconocidas. Incluso los instaladores que parecen legítimos pueden ocultar riesgos. Los expertos también recomiendan habilitar herramientas avanzadas de protección frente a amenazas, mantener los sistemas actualizados y, cuando sea posible, almacenar los activos cripto en carteras de hardware. Los usuarios deben tratar con cautela cualquier instalador o aviso de seguridad inesperado. De hecho, a medida que los atacantes perfeccionan sus técnicas, macOS ya no es un entorno de bajo riesgo. El caso de MacSync demuestra que incluso las protecciones integradas pueden ser burladas. En consecuencia, para los titulares de criptomonedas, la vigilancia sigue siendo esencial.