Programe malware MacSync
MacSync este o variantă rebranduită și actualizată a malware-ului mac.c, care a apărut pentru prima dată în primăvara anului 2025. Doar o lună mai târziu, malware-ul a reapărut sub noul său nume. Deși încă deține capacitățile de furt de date ale predecesorului său, MacSync introduce o componentă backdoor suplimentară. În special, stealer-ul original a fost dezvoltat în C, în timp ce modulul backdoor este scris în Go, evidențiind trecerea sa către o structură modulară și mai sofisticată.
Cuprins
Răspândire globală prin escrocherii ClickFix
MacSync a fost identificat la nivel mondial, infecțiile fiind concentrate în Ucraina, SUA, Germania, Marea Britanie și Spania. Malware-ul este distribuit în principal prin intermediul escrocheriilor ClickFix, care păcălesc victimele să execute comenzi rău intenționate pe sistemele lor. Odată executat, MacSync își începe procesul de infiltrare afișând o solicitare falsă de parolă, în încercarea de a colecta datele de autentificare ale dispozitivului.
Funcționalitate dublă: furt de date și control de la distanță
După securizarea accesului, MacSync implementează backdoor-ul său bazat pe Go. Această componentă se conectează la un server Command-and-Control (C&C), permițând atacatorilor să execute comenzi de la distanță. În același timp, modulul de furt de date colectează informații sensibile, cum ar fi:
- Fișiere personale
- Credențiale de conectare
- Portofele de criptomonede
Pentru a evita detectarea și a îngreuna analiza, MacSync folosește ofuscarea codului și șterge fișierele temporare legate de operațiunile sale.
Scopul modulului Backdoor
Backdoor-urile sunt concepute pentru a oferi infractorilor cibernetici acces secret la sistemele compromise. Backdoor-ul MacSync nu numai că facilitează executarea comenzilor la distanță, dar lasă și ușa deschisă pentru module malițioase suplimentare. Această abordare modulară crește semnificativ potențialul malware-ului de a-și extinde capacitățile și de a compromite în continuare sistemele infectate.
Proliferarea dincolo de ClickFix
Deși escrocheriile ClickFix cu tematică Cloudflare rămân principalul vector de răspândire, cercetătorii avertizează că MacSync s-ar putea răspândi prin mai multe metode de distribuție. Infractorii cibernetici se bazează frecvent pe phishing și inginerie socială pentru a deghiza programele malware în fișiere sau aplicații legitime.
Printre cele mai comune tehnici de infectare se numără:
- Escrocherii online, publicitate malicioasă și descărcări înșelătoare
- Site-uri freeware suspecte, surse de descărcare terțe și rețele P2P
- Linkuri sau atașamente rău intenționate în mesajele spam
- Actualizări false și activare ilegală de software („crack-uri”)
- Propagarea prin rețele locale și unități amovibile (USB-uri, hard disk-uri externe etc.)
Gânduri finale
MacSync marchează o evoluție semnificativă față de predecesorul său mac.c, combinând operațiuni de furt de date cu funcționalități backdoor. Designul său modular și metodele de distribuție extinse îl fac o amenințare deosebit de periculoasă. Utilizatorii ar trebui să fie atenți la campaniile de phishing, descărcările suspecte și solicitările de actualizare false, deoarece acestea rămân principalele porți de acces pentru acest malware.
