Nueva variante de MacSync roba datos en macOS a través de apps Swift firmadas y notarizadas

Introducción

En el ecosistema de amenazas para macOS, tradicionalmente considerado más seguro que otras plataformas, la aparición de nuevos infostealers plantea preocupaciones significativas para las organizaciones y profesionales de la ciberseguridad. La reciente detección de una variante avanzada del MacSync information stealer, distribuida mediante aplicaciones Swift firmadas y notarizadas, supone un giro preocupante en las tácticas de los actores de amenazas, que logran sortear controles de seguridad nativos de Apple y ponen en jaque la confianza en la cadena de suministro de software para macOS.

Contexto del Incidente o Vulnerabilidad

El infostealer MacSync, conocido por estar dirigido específicamente a sistemas macOS, ha evolucionado en su última versión para aprovechar el proceso de notarización y firma digital oficial de Apple. Esto le permite eludir Gatekeeper y otras protecciones integradas, facilitando su instalación por parte de usuarios que confían en la legitimidad de la aplicación.

Las investigaciones recientes señalan que la campaña de distribución de esta variante comenzó a principios de 2024, detectándose un incremento en actividades maliciosas asociadas a dominios y servidores de comando y control (C2) relacionados con MacSync. El método de entrega principal consiste en aplicaciones escritas en Swift, debidamente firmadas y notarizadas, lo que les otorga apariencia de legitimidad y reduce la tasa de detección en motores antivirus tradicionales.

Detalles Técnicos

La variante identificada de MacSync se distribuye como una aplicación Swift compilada, firmada con certificados válidos y aprobada por el proceso de notarización de Apple. Esto significa que el binario ha sido previamente enviado y revisado por los sistemas automatizados de Apple, recibiendo un ticket de notarización que permite su ejecución sin alertas en macOS Ventura, Sonoma y versiones anteriores.

– **CVE y Vectores de Ataque:** Aunque no se ha asignado un CVE específico a esta campaña, el vector principal de ataque es la ingeniería social mediante la distribución de aplicaciones aparentemente legítimas (por ejemplo, utilidades falsas o instaladores de software popular).
– **TTP MITRE ATT&CK:** Los TTP relevantes incluyen T1078 (Valid Accounts), T1204.002 (Malicious File), T1555 (Credentials from Password Stores) y T1567 (Exfiltration Over Web Service).
– **Indicadores de Compromiso (IoC):** Hashes SHA256 de las aplicaciones maliciosas, direcciones IP asociadas a los servidores C2 y dominios de distribución han sido identificados y compartidos en foros especializados y plataformas como VirusTotal.
– **Exploits y Frameworks:** No se ha detectado el uso de frameworks de explotación como Metasploit en la fase de intrusión inicial, pero se han observado técnicas de persistencia y evasión inspiradas en otras familias de malware para macOS.

El payload de MacSync es capaz de recolectar y exfiltrar información sensible, incluyendo credenciales almacenadas en el llavero de macOS, historiales de navegación, cookies, archivos del sistema de usuario y tokens de aplicaciones como Telegram o Discord. La exfiltración se realiza mediante conexiones cifradas TLS hacia servidores C2 alojados en infraestructuras comprometidas o bulletproof.

Impacto y Riesgos

El uso de aplicaciones firmadas y notarizadas incrementa la probabilidad de infección, ya que los mecanismos de seguridad nativos —como Gatekeeper— no bloquean la ejecución. Este vector es especialmente peligroso en entornos corporativos donde los usuarios pueden confiar erróneamente en la legitimidad del software.

Se estima que al menos un 15% de los incidentes de infostealing en macOS durante el primer semestre de 2024 están relacionados con variantes de MacSync, con más de 10.000 equipos potencialmente comprometidos. Las consecuencias incluyen robo de credenciales corporativas, acceso a recursos internos, suplantación de identidad y exposición a ataques posteriores, como ransomware o movimientos laterales.

A nivel de compliance, los incidentes pueden conllevar infracciones graves a normativas como GDPR y NIS2, con sanciones económicas que pueden superar los 20 millones de euros en casos de filtración masiva de datos personales.

Medidas de Mitigación y Recomendaciones

– **Bloqueo de IoC y monitorización de tráfico:** Aplicar listas negras actualizadas en los sistemas de seguridad perimetral y EDR.
– **Restricción de instalación de aplicaciones:** Configurar políticas de seguridad para permitir solo la instalación de software desde la App Store o desarrolladores verificados específicos.
– **Análisis forense y respuesta ante incidentes:** Utilizar herramientas como Velociraptor o EDRs compatibles con macOS para la detección y remediación proactiva.
– **Concienciación y formación:** Informar a los usuarios sobre los riesgos de instalar software externo, incluso si está firmado y notarizado.
– **Auditoría de cuentas y credenciales:** Rotar contraseñas y revisar accesos tras la detección de actividad sospechosa.

Opinión de Expertos

Especialistas del sector, como Thomas Reed (Director de Seguridad Mac en Malwarebytes) y el equipo de Objective-See, han alertado sobre la creciente sofisticación de los ataques dirigidos a macOS. Señalan que la confianza ciega en los procesos de notarización es un error, ya que los actores de amenazas están perfeccionando sus técnicas para sortear estos controles. Recomiendan una defensa en profundidad y la implementación de políticas Zero Trust en entornos críticos.

Implicaciones para Empresas y Usuarios

Las organizaciones deben reevaluar su estrategia de seguridad en dispositivos Apple, incluyendo controles adicionales de validación de software y una política de gestión de identidades y accesos robusta. Los usuarios deben ser conscientes de que la firma y notarización no garantizan la inocuidad del software instalado, y que la ingeniería social sigue siendo un vector de ataque relevante.

Conclusiones

La aparición de variantes de MacSync distribuidas mediante aplicaciones firmadas y notarizadas marca un cambio de paradigma en la amenaza sobre macOS. La industria debe adaptarse a este nuevo escenario, reforzando controles técnicos y organizativos, y promoviendo una cultura de ciberseguridad que desconfíe incluso de los mecanismos de validación oficial.

(Fuente: www.bleepingcomputer.com)