MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper

diciembre 25, 2025

MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper

Resumen de la nueva muestra detectada

Investigadores en ciberseguridad han identificado una nueva variante del info­stealer para macOS denominado MacSync. La muestra se entrega mediante una aplicación escrita en Swift, digitalmente firmada y notarizada por Apple, que se hace pasar por un instalador de una aplicación de mensajería para eludir las comprobaciones de Gatekeeper.

Investigadores han descubierto una nueva variante del info­stealer MacSync entregada a través de una aplicación Swift firmada y notarizada que se hace pasar por un instalador de mensajería para saltarse las comprobaciones de Gatekeeper de Apple.

Según el reporte, esta muestra contrasta con variantes anteriores de MacSync que se apoyaban en engaños como el “arrastrar al Terminal” (drag-to-terminal) o técnicas estilo “ClickFix” para inducir a la víctima a ejecutar comandos; en cambio, la nueva muestra utiliza un binario legítimo firmado y el proceso de notarización para reducir la fricción con el usuario y con el mecanismo de protección de macOS.

Por qué importa: contexto y antecedentes

Apple introdujo y aceleró el uso de notarización como control de seguridad para macOS en los últimos años: cuando una aplicación está firmada y notarizada, Gatekeeper la considera más confiable y muestra menos advertencias a los usuarios. Eso mejora la experiencia legítima de desarrolladores, pero también ofrece una vía de abuso si actores maliciosos obtienen certificados de desarrollador válidos o consiguen que sus paquetes sean notarizados por Apple.

  • La notarización y la firma de código reducen los avisos de Gatekeeper y pueden hacer que el usuario confíe más en el instalador.
  • Los esquemas de ingeniería social históricamente han sido la raíz de muchas infecciones en macOS: falsos instaladores, paquetes que suplantan aplicaciones populares y solicitudes para ejecutar comandos en Terminal.
  • El uso de aplicaciones aparentes como instaladores de mensajería explota la familiaridad del usuario con ese tipo de software y su disposición a instalarla.

El patrón —usar procesos legítimos de Apple para disfrazar software malicioso— no es nuevo, pero su persistencia y refinamiento siguen representando un reto operativo para equipos de seguridad y administradores de sistemas.

Análisis y comentario experto para practicantes

Para equipos de respuesta e inteligencia de amenazas, esta variante subraya varias lecciones prácticas:

  • Verificar no equivale a confiar ciegamente. Una aplicación puede estar firmada y notarizada y aun así contener código malicioso; la notarización es una comprobación automática, no una garantía semántica del comportamiento del software.
  • Analizar la cadena de firma y la identidad del desarrollador ayuda a priorizar: usar herramientas como spctl y codesign para evaluar el atributo de la firma y la fecha de notarización.
  • Controlar la telemetría de ejecución (procesos hijos, conexiones de red salientes, lecturas de directorios sensibles) permite detectar actividad anómala incluso cuando Gatekeeper no bloquea la ejecución inicial.

Recomendaciones técnicas específicas:

  • Al recibir un instalador sospechoso, inspeccione su firma y notarización:
    • spctl –assess –type execute -vv /ruta/a/la/app
    • codesign -dv –verbose=4 /ruta/a/la/app
  • Ejecute los binarios en entornos aislados (máquinas virtuales, sandboxes) y capture comportamiento: creación de persistencia (LaunchAgents/LaunchDaemons, cron, login items), lecturas de carpetas de usuario, accesos a llaveros, conexiones DNS y TLS inusuales.
  • Compare hashes y firmas con repositorios internos o feeds de inteligencia de amenazas; si el fichero aparece por primera vez, trate la muestra con precaución.
  • Instrumente detección en endpoints para identificar patrones típicos de info-stealers: acceso a navegadores, exportación de cookies, lectura de correo y documentos, y conexiones hacia servidores de comando y control.

Casos comparables y tendencia general

La técnica de usar aplicaciones firmadas y notarizadas para evadir controles no es exclusiva de MacSync. En los últimos años se han observado múltiples campañas que explotan la confianza en los procesos de firma y notarización, así como vectores de ingeniería social que suplantan instaladores legítimos (por ejemplo, falsos instaladores de plugins, reproductores o mensajería).

De forma más amplia, los atacantes han combinado tres elementos con frecuencia: ingeniería social dirigida al usuario final, paquetes aparentemente legítimos (firmados/notarizados) y post‑explotación automatizada para exfiltrar credenciales y datos. Esto ha provocado que los equipos de seguridad muevan controles más allá del bloqueo inicial y se centren en monitorizar comportamiento y comunicaciones.

Riesgos, implicaciones y recomendaciones de mitigación

Riesgos clave derivados de este vector:

  • Pérdida de credenciales y datos sensibles si el info‑stealer recoge contraseñas almacenadas, cookies o archivos de configuración.
  • Compromiso de cuentas corporativas si la víctima usa el dispositivo para correo o acceso a sistemas internos.
  • Escalada y movimiento lateral en entornos donde los Mac tienen acceso a recursos internos sin segmentación adecuada.

Medidas recomendadas para reducir riesgo (prácticas de defensa en profundidad):

  • Políticas de control de ejecución y aplicación de MDM: permitir sólo aplicaciones aprobadas y aplicar perfiles que bloqueen la ejecución de software no gestionado.
  • Least privilege: limitar usuarios con privilegios administrativos, evitar el uso diario de cuentas con sudo o admin.
  • Telemetría y detección: habilitar EDR/antivirus con cobertura en macOS, recoger logs de procesos, red y actividad de sistema de ficheros para análisis forense.
  • Higiene de credenciales: fomentar el uso de gestores de contraseñas y autenticación multifactor para dificultar la reutilización de credenciales extraídas.
  • Educación y simulaciones: formar a usuarios sobre instaladores falsos y riesgos de ejecutar binarios descargados de web o recibidos por mensajería.

Conclusión

La detección de una variante de MacSync entregada como aplicación Swift firmada y notarizada subraya que la firma y notarización por sí solas ya no son indicador definitivo de seguridad. Para defensores y administradores, la clave está en combinar controles de ejecución con monitorización activa del comportamiento, políticas de MDM estrictas y una mejor educación del usuario para mitigar el riesgo de fraude de instalación. Revisar firmas, auditar actividad post‑instalación y aplicar controles de privilegios son pasos prácticos inmediatos para reducir la superficie de ataque.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad
Operaciones de malware Android combinan droppers, robo de SMS y capacidades RAT a gran escala
Noticias Ciberseguridad