Malware MacSync

MacSync to odświeżona i ulepszona wersja stealera mac.c, który pojawił się po raz pierwszy wiosną 2025 roku. Zaledwie miesiąc później złośliwe oprogramowanie pojawiło się ponownie pod nową nazwą. Choć nadal posiada możliwości kradzieży danych swojego poprzednika, MacSync wprowadza dodatkowy komponent typu backdoor. Warto zauważyć, że oryginalny stealer został stworzony w języku C, a moduł backdoora w Go, co podkreśla jego przejście w kierunku modułowej i bardziej zaawansowanej struktury.

Globalne rozprzestrzenianie się za pośrednictwem oszustw ClickFix

MacSync został zidentyfikowany na całym świecie, a infekcje skoncentrowały się na Ukrainie, w Stanach Zjednoczonych, Niemczech, Wielkiej Brytanii i Hiszpanii. Szkodliwe oprogramowanie jest dystrybuowane głównie za pośrednictwem oszustw ClickFix, które nakłaniają ofiary do wykonywania złośliwych poleceń w ich systemach. Po uruchomieniu, MacSync rozpoczyna proces infiltracji, wyświetlając fałszywy monit o podanie hasła w celu przechwycenia danych uwierzytelniających urządzenia.

Podwójna funkcjonalność: kradzież danych i zdalne sterowanie

Po zabezpieczeniu dostępu MacSync wdraża backdoor oparty na języku Go. Komponent ten łączy się z serwerem poleceń i kontroli (C&C), umożliwiając atakującym zdalne wykonywanie poleceń. Jednocześnie moduł wykradający dane gromadzi poufne informacje, takie jak:

• Akta osobiste
• Dane logowania
• Portfele kryptowalutowe

Aby uniknąć wykrycia i utrudnić analizę, MacSync stosuje zaciemnianie kodu i usuwa pliki tymczasowe powiązane ze swoimi operacjami.

Cel modułu Backdoor

Backdoory zostały zaprojektowane tak, aby umożliwić cyberprzestępcom potajemny dostęp do zainfekowanych systemów. Backdoor MacSync nie tylko ułatwia zdalne wykonywanie poleceń, ale także otwiera furtkę dla dodatkowych złośliwych modułów. To modułowe podejście znacznie zwiększa potencjał złośliwego oprogramowania do rozszerzania swoich możliwości i dalszego atakowania zainfekowanych systemów.

Proliferacja poza ClickFix

Chociaż oszustwa związane z platformą Cloudflare ClickFix pozostają głównym sposobem dystrybucji, badacze ostrzegają, że MacSync może rozprzestrzeniać się wieloma metodami. Cyberprzestępcy często wykorzystują phishing i socjotechnikę, aby ukryć złośliwe oprogramowanie pod postacią legalnych plików lub aplikacji.

Do najczęściej spotykanych technik infekcji należą:

• Oszustwa internetowe, złośliwe reklamy i oszukańcze pobieranie
• Podejrzane witryny z darmowym oprogramowaniem, zewnętrzne źródła pobierania i sieci P2P

• Złośliwe linki lub załączniki w wiadomościach spamowych

• Fałszywe aktualizacje i nielegalna aktywacja oprogramowania („cracks”)

• Rozprzestrzenianie się poprzez sieci lokalne i dyski wymienne (USB, zewnętrzne dyski twarde itp.)

Ostatnie myśli

MacSync znacząco ewoluuje w stosunku do swojego poprzednika, mac.c, łącząc operacje kradzieży danych z funkcjonalnościami backdoor. Jego modułowa konstrukcja i szeroki zakres metod dystrybucji sprawiają, że jest to szczególnie niebezpieczne zagrożenie. Użytkownicy powinni zachować czujność wobec kampanii phishingowych, podejrzanych pobrań i fałszywych monitów o aktualizację, ponieważ pozostają one głównymi drogami dostępu dla tego złośliwego oprogramowania.