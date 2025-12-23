Il sistema operativo di Apple non è il bersaglio preferito dai cybercriminali (a differenza di Windows), ma il numero di malware è sicuramente in aumento e vengono distribuiti con metodi sempre più ingegnosi. Gli esperti dei Jamf Threat Labs hanno individuato una nuova versione di MacSync che può aggirare la protezione di Gatekeeper e rubare diversi dati personali.

Nascosto in un applicazione Swift

Le versioni precedenti di MacSync sono state distribuite tramite la nota tecnica ClickFix. In pratica, i cybercriminali cercavano di convincere l’utente ad eseguire alcuni comandi tramite Terminale che portavano all’installazione dell’infostealer. Per la versione più recente è stata invece sfruttata un’applicazione Swift.

L’applicazione, presente all’interno dell’immagine DMG pubblicata online (il sito è ancora attivo), ha una firma digitale valida ed è stata anche “autenticata” da Apple, quindi non viene bloccata da Gatekeeper. La firma è associata ad un Developer ID valido. In seguito alla segnalazione dei ricercatori, Apple ha revocato il certificato.

Analizzando il contenuto dell’immagine DMG, gli esperti di Jamf Threat Labs hanno individuato il dropper (in forma cifrata) che scarica e installa MacSync. I cybercriminali hanno utilizzato varie tecniche per evitare la rilevazione del malware, tra cui l’aggiunta di file PDF all’immagine DMG e la cancellazione dal disco degli script usati durante la catena di infezione.

MacSync è un rebrand di Mac.C, un infostealer apparso online a luglio 2025. Può rubare le credenziali da iCloud Keychain, password memorizzate nei browser, dati dai wallet di criptovalute, file e altre informazioni sensibili. Il consiglio è quello di scaricare le app solo dallo store ufficiale di Apple o dai siti di sviluppatori noti.