Malware pro MacSync
MacSync je přejmenovaná a vylepšená varianta malwaru mac.c, který se poprvé objevil na jaře 2025. Jen o měsíc později se malware znovu objevil pod novým názvem. Přestože si stále nese schopnosti krádeže dat svého předchůdce, MacSync zavádí další komponentu backdoor. Je pozoruhodné, že původní stealer byl vyvinut v jazyce C, zatímco modul backdoor je napsán v jazyce Go, což zdůrazňuje jeho posun směrem k modulární a sofistikovanější struktuře.
Obsah
Globální šíření prostřednictvím podvodů ClickFix
MacSync byl identifikován po celém světě, přičemž infekce jsou koncentrovány na Ukrajině, v USA, Německu, Velké Británii a Španělsku. Malware se šíří především prostřednictvím podvodů ClickFix, které lstí oběti přimějí k provedení škodlivých příkazů v jejich systémech. Po spuštění MacSync zahájí proces infiltrace zobrazením výzvy k zadání falešného hesla ve snaze získat přihlašovací údaje zařízení.
Dvojí funkce: Krádež dat a dálkové ovládání
Po zajištění přístupu MacSync nasadí svůj backdoor založený na platformě Go. Tato komponenta se připojuje k serveru Command-and-Control (C&C), což útočníkům umožňuje vzdáleně provádět příkazy. Zároveň modul pro krádež dat shromažďuje citlivé informace, jako například:
- Osobní soubory
- Přihlašovací údaje
- Kryptoměnové peněženky
Aby se MacSync vyhnul detekci a ztížil analýzu, používá zmatkování kódu a maže dočasné soubory spojené s jeho operacemi.
Účel modulu Backdoor
Zadní vrátka jsou navržena tak, aby kyberzločincům poskytla tajný přístup k napadeným systémům. Zadní vrátka MacSyncu nejen usnadňují vzdálené provádění příkazů, ale také nechávají dveře otevřené pro další škodlivé moduly. Tento modulární přístup výrazně zvyšuje potenciál malwaru rozšířit své schopnosti a dále ohrozit infikované systémy.
Šíření za hranicemi ClickFixu
Přestože podvody ClickFix s tematikou Cloudflare zůstávají hlavním způsobem šíření, vědci varují, že MacSync se může šířit prostřednictvím několika distribučních metod. Kyberzločinci se často spoléhají na phishing a sociální inženýrství, aby malware maskovali jako legitimní soubory nebo aplikace.
Mezi nejběžnější techniky infekce patří:
- Online podvody, malware a klamavé stahování
- Podezřelé stránky s freewarem, zdroje stahování třetích stran a P2P sítě
- Škodlivé odkazy nebo přílohy ve spamových zprávách
- Falešné aktualizace a nelegální aktivace softwaru („cracky“)
- Šíření přes lokální sítě a vyměnitelné disky (USB, externí pevné disky atd.)
Závěrečné myšlenky
MacSync představuje oproti svému předchůdci mac.c významný vývoj, protože kombinuje operace krádeže dat s funkcemi zadních vrátek. Jeho modulární design a široké metody distribuce z něj činí obzvláště nebezpečnou hrozbu. Uživatelé by si měli dávat pozor na phishingové kampaně, podezřelé stahování a falešné výzvy k aktualizacím, protože ty zůstávají primárními vstupními branami pro tento malware.
