Malware MacSync
MacSync è una variante ribattezzata e aggiornata dello stealer mac.c, apparso per la prima volta nella primavera del 2025. Solo un mese dopo, il malware è riemerso con il suo nuovo nome. Pur mantenendo le capacità di furto di dati del suo predecessore, MacSync introduce un componente backdoor aggiuntivo. In particolare, lo stealer originale è stato sviluppato in C, mentre il modulo backdoor è scritto in Go, evidenziando il passaggio a una struttura modulare e più sofisticata.
Sommario
Diffusione globale tramite truffe ClickFix
MacSync è stato identificato in tutto il mondo, con infezioni concentrate in Ucraina, Stati Uniti, Germania, Regno Unito e Spagna. Il malware viene distribuito principalmente tramite truffe ClickFix, che inducono le vittime a eseguire comandi dannosi sui propri sistemi. Una volta eseguito, MacSync inizia il suo processo di infiltrazione visualizzando una richiesta di password falsa nel tentativo di raccogliere le credenziali del dispositivo.
Doppia funzionalità: furto di dati e controllo remoto
Dopo aver ottenuto l'accesso, MacSync implementa la sua backdoor basata su Go. Questo componente si connette a un server di comando e controllo (C&C), consentendo agli aggressori di eseguire comandi da remoto. Allo stesso tempo, il modulo di furto di dati raccoglie informazioni sensibili come:
- File personali
- Credenziali di accesso
- Portafogli di criptovaluta
Per eludere il rilevamento e ostacolare l'analisi, MacSync utilizza l'offuscamento del codice e cancella i file temporanei collegati alle sue operazioni.
Lo scopo del modulo Backdoor
Le backdoor sono progettate per fornire ai criminali informatici un accesso segreto ai sistemi compromessi. La backdoor di MacSync non solo facilita l'esecuzione di comandi da remoto, ma lascia anche la porta aperta ad ulteriori moduli dannosi. Questo approccio modulare aumenta significativamente il potenziale del malware di espandere le sue capacità e compromettere ulteriormente i sistemi infetti.
Proliferazione oltre ClickFix
Sebbene le truffe ClickFix a tema Cloudflare rimangano il principale vettore di distribuzione, i ricercatori avvertono che MacSync potrebbe diffondersi attraverso molteplici metodi. I criminali informatici si affidano spesso al phishing e al social engineering per mascherare il malware come file o applicazioni legittimi.
Alcune delle tecniche di infezione più comuni includono:
- Truffe online, malvertising e download ingannevoli
- Siti di freeware sospetti, fonti di download di terze parti e reti P2P
- Link o allegati dannosi nei messaggi di spam
- Aggiornamenti falsi e attivazione illegale di software ('crack')
- Propagazione tramite reti locali e unità rimovibili (USB, dischi rigidi esterni, ecc.)
Considerazioni finali
MacSync rappresenta un'evoluzione significativa rispetto al suo predecessore mac.c, combinando operazioni di furto di dati con funzionalità backdoor. Il suo design modulare e i suoi ampi metodi di distribuzione lo rendono una minaccia particolarmente pericolosa. Gli utenti dovrebbero prestare attenzione a campagne di phishing, download sospetti e false richieste di aggiornamento, poiché queste rimangono le principali vie di accesso per questo malware.
