СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.12.2025
#ИБ

MacSync Stealer: эволюция, подпись кода и скрытная доставка

Вредоносное ПО MacSync Stealer заметно изменило свою тактику — от примитивных приёмов социальной инженерии к более изощрённой и технологически зрелой модели доставки полезной нагрузки. По данным исследователей из Jamf Threat Labs, новая версия распространяется в виде подписанного и notarized приложения, что позволяет злоумышленникам эффективнее обходить средства защиты macOS.

Как это работало раньше

  • Ранние варианты опирались на техники «перетащить в Terminal» и ClickFix, когда пользователь непреднамеренно запускал вредоносные скрипты;
  • Команды часто передавались в виде base64-закодированных строк, которые декодировались и запускались прямо в окружении памяти;
  • Такие методы обычно оставляли минимальные следы на диске — основной упор делался на выполнение в памяти и обман пользователя.

Что изменилось в новой версии

Последний анализ Jamf Threat Labs выявил коренные изменения в механизме доставки и исполнения:

  • Образец поставляется как подписанное и notarized приложение — злоумышленники начали использовать code signing и notarization для повышения доверия систем безопасности;
  • Вместо внешних трюков с вводом команд в Terminal вредонос теперь инкапсулирован в структуру приложения: внутри пакета находятся универсальные Mach-O binaries, которые выполняются в рамках app bundle;
  • Точка входа — функция _main — устанавливает состояние приложения, задаёт пути логирования и проводит проверку подключения к сети;
  • При успешном соединении _main извлекает second-stage payload, а функция RunInstaller() выступает как dropper для этой следующей полезной нагрузки.

«обновленная версия … поставляется в виде подписанного и нотариально заверенного приложения» — вывод Jamf Threat Labs

Технические подробности (ключевые моменты)

  • _main: инициализация приложения, настройка логов, проверка сетевого подключения; при наличии соединения — загрузка второго этапа;
  • RunInstaller(): механизм выполнения и развёртывания second-stage payload; здесь наблюдается сдвиг от простого выполнения скриптов к более структурированному dropper-механику;
  • Использование универсальных Mach-O binaries внутри app bundle даёт злоумышленникам гибкость в целевых архитектурах и снижает зависимость от внешних вспомогательных файлов;
  • Перемещение от «выполнить через Terminal» к подписанным приложениям повышает операционную скрытность и затрудняет обнаружение традиционными средствами.

Почему это опасно

Эволюция в сторону подписанных и notarized приложений отражает общую тенденцию в развитии вредоносного ПО: злоумышленники используют легитимные механизмы платформы, чтобы снизить вероятность блокировки или анализа. В результате:

  • Gatekeeper и другие защитные слои могут доверять подписанным/нотарифицированным бинарям дольше, чем неподписанным скриптам;
  • Структурированный dropper внутри пакета упрощает доставку сложных second-stage payloads без явных внешних индикаторов;
  • Комбинация network check + загрузка payload делает поведение ориентированным на контроль и гибкую активацию вреда.

Рекомендации для защиты

  • Проверять подписи и notarization: не полагаться только на факт подписи как на однозначный признак безопасности — анализировать издателя и контекст;
  • Ограничить возможности запуска сторонних приложений: применять политики установки только доверенных источников и использовать MDM (например, Jamf) для контроля разрешённых пакетов;
  • Мониторить сетевую активность приложений: аномальные исходящие соединения должны подлежать расследованию, особенно сразу после установки/запуска новых приложений;
  • Использовать EDR/AV с проверкой поведения и анализом Mach-O бинарей внутри app bundles;
  • Обучать пользователей: объяснять риски «перетаскивания в Terminal» и вставки команд из непроверенных источников.

Вывод

MacSync Stealer демонстрирует, как злоумышленники адаптируются, переходя от простой социальной инженерии и встраиваемых скриптов к использованию легитимных механизмов платформы — подписей и notarization — для повышения скрытности и эффективности доставки вредоносных payload. Это изменение подчёркивает необходимость комплексного подхода к защите macOS: сочетание политик контроля приложений, мониторинга поведения и повышения осведомлённости пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: