Новый вредоносный MacSync обходит Gatekeeper macOS для кражи криптовалюты

Новый вариант вредоносного ПО MacSync активно нацелен на пользователей macOS. Исследователи безопасности предупреждают, что оно может обходить встроенные защиты Apple и похищать конфиденциальные данные, включая криптокошельки. Об этом сообщили в компании SlowMist после того, как ее главный специалист по информационной безопасности сообщил о первых потерях активов у пользователей. Этот случай отражает рост уровня угроз для macOS. В отличие от старых версий, новый вариант скрывается от обнаружения, при этом выглядит легитимным для операционной системы.

Как вредоносное ПО обходит защиту macOS

Новый MacSync умеет обходить Gatekeeper — систему, предназначенную для блокировки недоверенных приложений. По словам исследователей, вредонос использует несколько уровней маскировки. Среди них — «раздутие» файлов для сокрытия кода, проверка сетевого окружения перед запуском и скрипты самоуничтожения, удаляющие следы после выполнения.

В результате на диске остается мало доказательств присутствия вредоноса. После запуска он атакует особенно чувствительные данные: iCloud-ключи, пароли, сохраненные в браузере, и файлы криптокошельков. Во многих случаях злоумышленники получают полный доступ, прежде чем пользователь осознает проблему.

Переход к подписанному коду повышает риск

Дополнительный анализ Jamf Threat Labs показывает, что вредонос эволюционировал в методах доставки. Ранние версии MacSync использовали социальную инженерию: команды через терминал или ручное выполнение скриптов. Новый вариант приходит как подписанное и нотариально заверенное Swift-приложение. Оно распространяется в виде файлов дисковых образов, имитирующих легитимные установщики. Это позволяет пройти первичную проверку macOS без предупреждений.

После запуска приложение тихо загружает и выполняет вторую стадию вредоносного кода. Большая часть работы происходит в оперативной памяти, что снижает вероятность обнаружения традиционными антивирусами. Исследователи отмечают, что это отражает более широкую тенденцию: современные вредоносы для macOS все чаще используют подписанные и нотариально заверенные исполняемые файлы, чтобы выглядеть безопасными и замедлить их обнаружение.

Криптокошельки остаются основной целью

Фокус вредоноса на криптокошельках подчеркивает растущие риски для держателей цифровых активов. Как только злоумышленники получают приватные ключи или данные восстановления, украденные средства обычно невозможно вернуть. Сообщается, что некоторые пользователи теряли криптовалюту вскоре после заражения. При этом не было признаков принудительных транзакций или взломов бирж — атака происходила напрямую через скомпрометированные устройства. Эксперты предупреждают, что владельцы криптовалют особенно уязвимы, так как часто хранят кошельки, расширения для браузеров и учетные данные на личных ноутбуках без дополнительных мер защиты.

Что следует делать пользователям

SlowMist призывает пользователей macOS избегать скачивания программного обеспечения и плагинов из неизвестных источников. Даже установщики, выглядящие легитимно, могут скрывать угрозы. Эксперты рекомендуют включать расширенные инструменты защиты от угроз, регулярно обновлять системы и по возможности хранить криптоактивы на аппаратных кошельках. Любой неожиданный установщик или запрос безопасности следует рассматривать с осторожностью. Дело MacSync показывает: даже встроенные защиты можно обойти, поэтому внимательность для владельцев криптовалют остается критически важной.