Een nieuwe variant van de MacSync-malware verspreidt zich via een ogenschijnlijk legitieme app die probleemloos door Apples beveiligingscontroles geraakt.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Nieuwe MacSync-malware glipt door macOS-beveiliging met geldig Apple-certificaat
Beveiligingsonderzoekers van Jamf, een platform voor Apple-apparaatbeheer, ontdekten dat de malware wordt aangeleverd in de vorm van een digitaal ondertekende en door Apple goedgekeurde Swift-applicatie. Daardoor slaagt ze erin om Gatekeeper (de ingebouwde beveiligingslaag van macOS) te omzeilen, iets wat bij eerdere versies niet lukte. De nieuwe variant van de MacSync-malware toont hoe ook macOS steeds vaker het doelwit wordt van geraffineerde cyberaanvallen.
Volgens Jamf is dat een duidelijke evolutie. Oudere varianten van MacSync maakten gebruik van eenvoudige trucs zoals gebruikers die handmatig commando’s in de Terminal moesten uitvoeren. In de nieuwste campagne is dat niet meer nodig. De malware zit verstopt in een schijfkopie met de naam zk-call-messenger-installer-3.9.2-lts.dmg, die wordt aangeboden via een ogenschijnlijk betrouwbare downloadpagina.
Apple-controles omzeild
Bij analyse bleek dat het bestand correct ondertekend was en over een geldig Apple-notarisatielabel beschikte. Gatekeeper zag dus geen reden om de app te blokkeren. De digitale handtekening was gekoppeld aan een ontwikkelaarsaccount met Team ID GNJLS3UYZ4.
Pas nadat Jamf Apple rechtstreeks op de hoogte bracht, werd het gebruikte certificaat ingetrokken. Op het moment dat de malware actief werd verspreid, kon ze echter zonder waarschuwing worden uitgevoerd op systemen met een up-to-date macOS-versie. Eenmaal gestart, fungeert de app als een zogenaamde ‘dropper’. De eigenlijke malware zit gecodeerd in het pakket en wordt pas na decodering actief. Die techniek maakt het voor beveiligingssoftware moeilijker om de dreiging meteen te herkennen.
Gericht op detectie-ontwijking
De onderzoekers merkten meerdere pogingen op om detectie te vermijden. Zo werd het installatiebestand kunstmatig opgeblazen tot ruim 25 MB door onschuldige pdf-bestanden toe te voegen. Daarnaast wist de malware sporen van zichzelf door scripts te verwijderen en controleert ze vooraf of er een actieve internetverbinding is, een klassieke methode om sandbox-omgevingen van beveiligingsbedrijven te ontwijken.
MacSync dook voor het eerst op in april 2025 onder de naam Mac.C en wordt gelinkt aan een dreigingsactor die zichzelf ‘Mentalpositive’ noemt. Tegen de zomer werd de malware breder ingezet en schaarde ze zich naast andere macOS-gerichte stealers zoals AMOS en Odyssey. Eerdere analyses tonen aan dat MacSync onder meer iCloud-sleutelhangers, browserwachtwoorden, systeeminformatie, cryptowallets en lokale bestanden kan buitmaken.
Opvallend is dat de maker van de malware in een interview in september al aangaf dat Apples strengere notarisatievereisten sinds macOS 10.14.5 een grote impact hadden op zijn ontwikkelstrategie. De nieuwste variant lijkt daar het rechtstreekse gevolg van: malware die zich steeds beter voordoet als legitieme software.
De ontdekking onderstreept opnieuw dat ook macOS geen vrijgeleide meer heeft op het vlak van beveiliging, en dat Apples doorgaans strenge controles zeker niet onfeilbaar zijn.
Onderwerp: Beveiliging
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
