СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
8 мая
#ИБ

MacSync Stealer: быстрая ротация C2 угрожает macOS

5 мая 2026 года был выявлен инцидент с MacSync Stealer, когда Jamf Protect заблокировал попытку загрузки вредоносного полезного груза с домена jacksonvillemma.com. Событие произошло вскоре после публичного раскрытия предыдущего C2-домена, что указывает на быструю ротацию инфраструктуры и устойчивую адаптацию оператора к внешнему давлению.

Быстрая смена C2-инфраструктуры

По данным последующего анализа RST Cloud, злоумышленники демонстрируют системный подход к поддержанию оперативной непрерывности даже на фоне растущего внимания со стороны исследователей. Инфраструктура управления и контроля, связанная с этой кампанией, постоянно обновляется, а домены заменяются один за другим, чтобы усложнить атрибуцию и блокировку.

Отдельное внимание в расследовании привлекли статические API-ключи, общие для нескольких C2-доменов. В частности, был выявлен ключ 5190ef1733183a0dc63fb623357f56d6 и уникальный токен сборки 7980485fb1e0b1b1d6307a92b5750c7055bc53b662005cbaa662ac634984363d.

Эти идентификаторы были прослежены через четыре различных C2-домена, что, по оценке исследователей, может указывать на использование одного и того же либо взаимосвязанных преступных предприятий, применяющих WaaSmalware as a service.

Как работает заражение

Вредоносная полезная нагрузка распространяется через механизмы, рассчитанные на взаимодействие с пользователем. В частности, злоумышленники используют манипулятивные диалоговые окна AppleScript, чтобы запрашивать пароль системы macOS.

Первая стадия атаки начинается с HTTP-request для получения zsh-wrapper, который затем декодирует и выполняет встроенную полезную нагрузку. Далее код занимается как сбором, так и эксфильтрацией конфиденциальной информации, включая:

  • пароли;
  • данные, хранящиеся в browser;
  • учетные данные из Keychain;
  • информацию из различных cryptocurrency wallets.

Украденные данные упаковываются в ZIP-file, после чего выполняются фрагментированные uploads на инфраструктуру C2 оператора. Такой подход затрудняет обнаружение и снижает эффективность стандартных мер реагирования.

Шаблоны доменов и признаки параллельной операции

Исследование также показало, что C2-URL следуют определенному шаблону. Это, по мнению аналитиков, отражает параллельную C2-операцию: операторы поддерживают несколько активных domain одновременно, чтобы повысить устойчивость кампании и усложнить ее отслеживание.

В ходе расследования было выявлено еще 11 кандидатов, связанных с этой инфраструктурой. Они определялись на основе обнаруженных URI-pattern, что подтверждает наличие разветвленной и динамичной схемы управления.

Подобная архитектура показывает, что операторы не просто перезапускают инфраструктуру, а выстраивают ее как устойчивый сервис с постоянной заменой доменов и идентификаторов.

Почему MacSync Stealer остается опасным

MacSync Stealer известен широким охватом пользователей macOS. Он нацелен на кражу чувствительных данных и использует эволюционирующие техники распространения, которые меняются по мере того, как предыдущие кампании сталкиваются с блокировками или выявлением.

Такой адаптивный характер указывает на способность актора быстро перестраивать тактику в ответ на операционные неудачи. Это особенно опасно для организаций, где защита endpoints основана на статичных сигнатурах и устаревающих правилах обнаружения.

Обнаружение и меры защиты

В отчете отмечается, что для выявления активности этого ВПО уже существуют устоявшиеся YARA-rules. Однако, как подчеркивают исследователи, они могут потребовать обновления с учетом новых техник evasion.

Ключевой вывод расследования заключается в том, что защита от подобных угроз требует не только сигнатурного обнаружения, но и постоянного анализа инфраструктуры, поведения вредоноса и цепочек доставки. В случае с MacSync Stealer именно сочетание быстрой ротации доменов, манипуляций с пользователем и многоступенчатой эксфильтрации делает кампанию особенно устойчивой.

Вывод

Инцидент с MacSync Stealer демонстрирует типичную для современных macOS-threat кампаний модель: оперативная смена C2, повторное использование общих идентификаторов, встроенные механизмы обхода и расчет на человеческий фактор. Для defenders это означает необходимость повышенной бдительности, актуализации правил detection и постоянного мониторинга инфраструктуры, связанной с этим семейством ВПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: