Zlonamjerni softver za MacSync
MacSync je preimenovana i nadograđena varijanta mac.c stealera, koji se prvi put pojavio u proljeće 2025. Samo mjesec dana kasnije, zlonamjerni softver ponovno se pojavio pod novim imenom. Iako i dalje nosi mogućnosti krađe podataka svog prethodnika, MacSync uvodi dodatnu backdoor komponentu. Važno je napomenuti da je izvorni stealer razvijen u C-u, dok je backdoor modul napisan u Go-u, što ističe njegov pomak prema modularnoj i sofisticiranijoj strukturi.
Sadržaj
Globalno širenje putem prevara ClickFix
MacSync je identificiran diljem svijeta, s infekcijama koncentriranima u Ukrajini, SAD-u, Njemačkoj, Velikoj Britaniji i Španjolskoj. Zlonamjerni softver se distribuira prvenstveno putem ClickFix prijevara, koje vara žrtve da izvršavaju zlonamjerne naredbe na svojim sustavima. Nakon izvršenja, MacSync započinje proces infiltracije prikazivanjem lažne lozinke u pokušaju prikupljanja podataka s uređaja.
Dvostruka funkcionalnost: Krađa podataka i daljinsko upravljanje
Nakon što osigura pristup, MacSync implementira svoj backdoor temeljen na Go-u. Ova komponenta se povezuje s Command-and-Control (C&C) poslužiteljem, omogućujući napadačima daljinsko izvršavanje naredbi. Istovremeno, modul za krađu podataka prikuplja osjetljive informacije kao što su:
- Osobne datoteke
- Vjerodajnice za prijavu
- Novčanici s kriptovalutama
Kako bi izbjegao otkrivanje i otežao analizu, MacSync koristi maskiranje koda i briše privremene datoteke povezane s njegovim operacijama.
Svrha Backdoor modula
Stražnja vrata (backdoor) osmišljena su kako bi kibernetičkim kriminalcima omogućila tajni pristup kompromitiranim sustavima. MacSyncova stražnja vrata ne samo da olakšavaju izvršavanje naredbi na daljinu, već i ostavljaju vrata otvorena za dodatne zlonamjerne module. Ovaj modularni pristup značajno povećava potencijal zlonamjernog softvera da proširi svoje mogućnosti i dodatno ugrozi zaražene sustave.
Širenje izvan ClickFixa
Iako su ClickFix prijevare s temom Cloudflarea i dalje glavni vektor isporuke, istraživači upozoravaju da bi se MacSync mogao širiti putem više metoda distribucije. Kibernetički kriminalci često se oslanjaju na phishing i društveni inženjering kako bi prikrili zlonamjerni softver kao legitimne datoteke ili aplikacije.
Neke od najčešćih tehnika infekcije uključuju:
- Internetske prijevare, zlonamjerno oglašavanje i obmanjujuća preuzimanja
- Sumnjive web-stranice s besplatnim softverom, izvori preuzimanja trećih strana i P2P mreže
- Zlonamjerne poveznice ili privitci u neželjenim porukama
- Lažna ažuriranja i aktivacija ilegalnog softvera ('cracks')
- Širenje putem lokalnih mreža i prijenosnih diskova (USB-ova, vanjskih tvrdih diskova itd.)
Završne misli
MacSync označava značajnu evoluciju u odnosu na svog prethodnika mac.c kombinirajući operacije krađe podataka s funkcionalnostima backdoora. Njegov modularni dizajn i široke metode distribucije čine ga posebno opasnom prijetnjom. Korisnici bi trebali biti oprezni zbog phishing kampanja, sumnjivih preuzimanja i lažnih upita za ažuriranje, jer su to i dalje primarni ulazni kanali za ovaj zlonamjerni softver.
