Varian terbaru dari MacSync, malware pencuri informasi yang menargetkan sistem macOS, kini hadir dengan metode distribusi yang jauh lebih canggih. Alih-alih menggunakan teknik sederhana seperti drag‑to‑Terminal atau ClickFix, versi terbaru ini dikemas sebagai aplikasi Swift yang ditandatangani secara digital dan telah dinotarikan, memungkinkan malware melewati pemeriksaan keamanan Gatekeeper tanpa hambatan.
Peneliti keamanan dari Jamf mengungkap bahwa aplikasi berbahaya tersebut disebarkan melalui file disk image bernama zk-call-messenger-installer-3.9.2-lts.dmg. Dengan pendekatan ini, pengguna tidak lagi diminta melakukan interaksi terminal apa pun, sehingga proses infeksi menjadi lebih halus dan sulit dicurigai.
Pada saat analisis dilakukan, aplikasi tersebut memiliki tanda tangan digital yang valid dan lolos seluruh pemeriksaan Gatekeeper. Jamf menemukan bahwa binary Mach‑O yang digunakan merupakan universal build yang telah ditandatangani dan dinotarikan menggunakan Developer Team ID GNJLS3UYZ4. Setelah laporan dikirimkan, Apple segera mencabut sertifikat tersebut.
Payload MacSync disisipkan dalam bentuk terenkripsi dan dieksekusi melalui dropper. Setelah payload didekode, peneliti menemukan karakteristik khas MacSync Stealer. Varian ini juga dilengkapi berbagai mekanisme penghindaran deteksi, seperti:
- Membengkakkan ukuran file DMG hingga 25,5 MB dengan menyertakan PDF umpan.
- Menghapus skrip yang digunakan dalam rantai eksekusi untuk menghilangkan jejak.
- Melakukan pengecekan konektivitas internet sebelum berjalan guna menghindari lingkungan sandbox.
MacSync pertama kali muncul pada April 2025 dengan nama Mac.C, dikembangkan oleh aktor ancaman yang dikenal sebagai Mentalpositive. Popularitasnya meningkat pada pertengahan tahun, memasuki pasar malware pencuri informasi macOS yang relatif lebih sepi dibandingkan ekosistem Windows, berdampingan dengan AMOS dan Odyssey.
Analisis sebelumnya menunjukkan bahwa Mac.C mampu mencuri berbagai jenis data sensitif, termasuk kredensial iCloud Keychain, kata sandi browser, metadata sistem, data dompet kripto, hingga file dari filesystem. Dalam sebuah wawancara pada September, Mentalpositive mengakui bahwa kebijakan notarization yang lebih ketat sejak macOS 10.14.5 menjadi faktor utama yang memengaruhi strategi pengembangan malware mereka—sesuatu yang kini terlihat jelas pada evolusi MacSync terbaru.