Programari maliciós de MacSync
MacSync és una variant renovada i actualitzada del lladre de dades mac.c, que va aparèixer per primera vegada a la primavera del 2025. Només un mes després, el programari maliciós va reaparèixer amb el seu nou nom. Tot i que encara conserva les capacitats de robatori de dades del seu predecessor, MacSync introdueix un component de porta del darrere addicional. Cal destacar que el lladre de dades original es va desenvolupar en C, mentre que el mòdul de porta del darrere està escrit en Go, cosa que destaca el seu canvi cap a una estructura modular i més sofisticada.
Taula de continguts
Propagació global a través d’estafes de ClickFix
MacSync ha estat identificat a tot el món, amb infeccions concentrades a Ucraïna, els EUA, Alemanya, el Regne Unit i Espanya. El programari maliciós es distribueix principalment a través d'estafes ClickFix, que enganyen les víctimes perquè executin ordres malicioses als seus sistemes. Un cop executat, MacSync comença el seu procés d'infiltració mostrant una sol·licitud de contrasenya falsa en un intent de recopilar les credencials del dispositiu.
Doble funcionalitat: robatori de dades i control remot
Després d'assegurar l'accés, MacSync implementa la seva porta del darrere basada en Go. Aquest component es connecta a un servidor de comandament i control (C&C), permetent als atacants executar ordres de forma remota. Al mateix temps, el mòdul de robatori de dades recopila informació sensible com ara:
- Fitxers personals
- Credencials d'inici de sessió
- moneders de criptomonedes
Per evadir la detecció i dificultar l'anàlisi, MacSync utilitza l'ofuscació de codi i esborra els fitxers temporals vinculats a les seves operacions.
El propòsit del mòdul Backdoor
Les portes del darrere estan dissenyades per donar als ciberdelinqüents accés secret a sistemes compromesos. La porta del darrere de MacSync no només facilita l'execució remota d'ordres, sinó que també deixa la porta oberta a mòduls maliciosos addicionals. Aquest enfocament modular augmenta significativament el potencial del programari maliciós per ampliar les seves capacitats i comprometre encara més els sistemes infectats.
Proliferació més enllà de ClickFix
Tot i que les estafes ClickFix amb temàtica de Cloudflare continuen sent el principal vector de distribució, els investigadors alerten que MacSync es podria propagar a través de múltiples mètodes de distribució. Els ciberdelinqüents sovint es basen en la suplantació d'identitat (phishing) i l'enginyeria social per disfressar el programari maliciós com a fitxers o aplicacions legítimes.
Algunes de les tècniques d'infecció més comunes inclouen:
- Estafes en línia, publicitat maliciosa i descàrregues enganyoses
- Llocs web sospitosos de programari gratuït, fonts de descàrrega de tercers i xarxes P2P
- Enllaços o fitxers adjunts maliciosos en missatges brossa
- Actualitzacions falses i activació il·legal de programari ('cracks')
- Propagació a través de xarxes locals i unitats extraïbles (USB, discs durs externs, etc.)
Reflexions finals
MacSync marca una evolució significativa respecte al seu predecessor mac.c, ja que combina operacions de robatori de dades amb funcionalitats de porta del darrere. El seu disseny modular i els seus amplis mètodes de distribució el converteixen en una amenaça especialment perillosa. Els usuaris han d'estar alerta a les campanyes de phishing, les descàrregues sospitoses i les sol·licituds d'actualització falses, ja que aquestes continuen sent les principals portes d'entrada d'aquest programari maliciós.
