Jamfによると、MacSync Stealerと呼ばれるmacOSマルウェアの開発者は配布メカニズムを更新し、ターミナルでの直接操作を不要にした。
MacSync Stealerは約半年前に登場し、2025年4月に初めて確認されたmacOS情報窃取型マルウェア「Mac.c」のリブランド版だった。
Mac.cは既存のmacOSスティーラーの安価な代替であり、買収したマルウェア開発者が短期間で機能を拡張し、主要な脅威へと押し上げた。
Mac.cから受け継いだ情報窃取機能に加え、MacSync Stealerは、フル機能のGoベースのエージェントを通じてバックドア機能が追加された。
多くのmacOSインフォスティーラーと同様に、ClickFixなどのソーシャルエンジニアリング手法に依存し、ユーザーをだまして悪意のあるスクリプトを実行させ、感染に至らせていた。
しかし、最近観測されたサンプルではこの手順が排除され、より直接的で手間のかからない手法が採られているとJamfは述べている。
スティーラーの運用者は、zk-Callメッセンジャーのインストーラーを装ったディスクイメージ内に、コード署名および公証済みのSwiftアプリケーションとしてマルウェアのドロッパーを同梱していた。
「ドロッパーはリモートサーバーからエンコードされたスクリプトを取得し、Swiftで構築されたヘルパー実行ファイルを介してそれを実行する」とJamfは説明している。
同じ配布手法は、サイバーセキュリティ企業によれば、Odysseyインフォスティーラー・ファミリーにも採用されているという。
MacSync Stealerの新たな感染チェーンの分析により、ステルス性と永続化に重点を置いた多層的で回避的なドロッパー手順が明らかになった。これには、環境チェック、ネットワークリクエスト、Gatekeeper回避、検証が含まれる。
MacSync Stealerは2025年半ばに検知で確認され始めたが、比較的短期間で数百台のマシンに感染した。
「この配布の変化は、macOSマルウェアの状況全体におけるより広範な傾向を反映している。攻撃者は、署名および公証された実行ファイルにマルウェアを紛れ込ませ、正規のアプリケーションのように見せかけようとする試みをますます強めている」とJamfは指摘している。
翻訳元: https://www.securityweek.com/macsync-macos-malware-distributed-via-signed-swift-application/
