Alerta en macOS: así funciona el nuevo malware que se esconde detrás de una aplicación confiable de Apple

El malware MacSync Stealer ha evolucionado hasta convertirse en una amenaza silenciosa para los ordenadores de Apple. Este software malicioso logra instalarse bajo la apariencia de una aplicación legítima escrita en Swift, firmada y notariada por la propia compañía tecnológica, antes de ejecutar sus acciones malintencionadas.

MacSync Stealer está diseñado para el robo de información en equipos Mac infectados y, tradicionalmente, se distribuía mediante técnicas similares a ClickFix, que requerían la intervención del usuario a través del “copiar y pegar” de código malicioso.

Sin embargo, una nueva variante ha logrado superar este método. En lugar de depender de una acción directa por parte de la víctima, adopta un enfoque sin intervención, engañando al usuario al presentarse como una aplicación legítima de Apple, como un supuesto servicio de mensajería.

Está diseñado específicamente para robar información de los equipos Mac infectados. Foto: Getty Images

En su primera fase, el malware se presenta como una aplicación desarrollada en Swift —el lenguaje de programación de Apple— que cuenta con una firma vinculada a un ID de desarrollador y ha sido notariada por la propia empresa, lo que le otorga una apariencia de total legitimidad.

La práctica sencilla que los expertos recomiendan realizar periódicamente para proteger la información personal en internet

La aplicación se distribuye a través de una imagen de disco de gran tamaño (25,5 MB) que, según explican desde Jamf Threat Labs en un análisis, “parece estar inflada por archivos señuelo incrustados en el paquete de la aplicación”.

Una vez ejecutado en el equipo, el malware realiza un análisis del entorno del sistema, incluida la conexión a internet, con el fin de comprobar que se cumplen las condiciones necesarias para conectarse a un servidor remoto y descargar e instalar la carga maliciosa en una segunda fase.

El malware se propaga mediante una imagen de disco de gran tamaño (25,5 MB). Foto: Getty Images

“Este cambio en la distribución refleja una tendencia más amplia en el panorama del ‘malware’ para macOS, donde los atacantes intentan cada vez más introducir su ‘malware’ en ejecutables firmados y notariados, lo que les permite simular aplicaciones legítimas. Al aprovechar estas técnicas, los atacantes reducen las posibilidades de ser detectados a tiempo”, han comentado los analistas de Jamf Threat Labs.

Tras ser notificada por la empresa de ciberseguridad, Apple procedió a revocar la certificación asociada al ID del equipo de desarrolladores implicado.

*Con información de Europa Press