MacSyncとして知られるmacOS向けスティーラーの最新亜種は、被害者のマシンにほとんど「正規アプリケーションのように」侵入できるようになりました。Jamfによると、現在はDMGファイル内にパッケージされた署名済みSwiftアプリとして配布されており、「Terminalにドラッグ」させる手口やClickFixスキームといった、より粗雑な手法に頼っていた従来版からの大きな転換です。今回は、ユーザーがコマンドラインと直接やり取りする必要はありません。
Jamfの説明では、インストーラーはzk-call-messenger-installer-3.9.2-lts.dmgというディスクイメージ内にあり、zkcall.netのダウンロードページ経由で配布されていました。解析時点でアプリケーションには有効なデジタル署名が付与されており、macOSのGatekeeperチェックを問題なく通過しました。Mach-Oバイナリ(ユニバーサルビルド)を調査したところ、署名および公証(notarized)の両方が確認され、署名はDeveloper Team ID GNJLS3UYZ4に紐づいていました。
この状況は、Jamfが証明書についてAppleに直接通知した後に変化し、その後証明書は失効しました。それでも、この配布メカニズム自体は、マルウェア作者がmacOSエコシステムの要件に合わせ、感染初期段階で可能な限り正規に見せるための意図的な取り組みを示しています。
MacSyncはドロッパーによってエンコードされた形でシステムに到達します。ペイロードがデコードされると、研究者はこのスティーラー特有の特徴を特定しました。このキャンペーンでは複数の解析妨害手法も用いられています。DMGイメージはおとりのPDFファイルで25.5MBまで人為的に膨らまされ、実行中に使用されるスクリプトは消去され、起動前にアクティブなインターネット接続が確認されます。これはサンドボックスや隔離環境を回避する有効な方法です。
このスティーラーは2025年4月にMac.Cという名称で初めて確認され、Mentalpositiveという別名で活動する脅威アクターに帰属するとされました。7月までに注目を集め、AMOSやOdysseyと並ぶ、比較的希少ながら収益性の高いmacOSスティーラーの一角を占めるようになりました。MacPaw Moonlockによる以前の分析では、Mac.CがiCloudキーチェーンのデータ、ブラウザのパスワード、システムメタデータ、暗号資産ウォレット情報、ローカルファイルシステム上のファイルを流出させ得ることが指摘されています。
研究者g0njxaがMentalpositiveに行ったインタビューから、注目すべき詳細が明らかになりました。作者は、macOS 10.14.5以降にアプリの公証ポリシーが強化されたことが、マルウェアの開発ロードマップに大きく影響したと主張しました。現在のキャンペーン構造を見る限り、これは単なる発言ではありません。野外で観測された最新サンプルは、macOSの馴染み深い信頼の障壁を、計算された精度でくぐり抜けようとしていることが明確です。
翻訳元: https://meterpreter.org/the-trusted-thief-new-signed-macsync-malware-bypasses-apples-gatekeeper/
