Злонамерни софтвер за MacSync
MacSync је ребрендирана и надограђена варијанта mac.c крађе података, која се први пут појавила у пролеће 2025. године. Само месец дана касније, злонамерни софтвер се поново појавио под новим именом. Иако и даље носи могућности крађе података свог претходника, MacSync уводи додатну компоненту задњег врата. Приметно је да је оригинални крађа података развијен у C језику, док је модул задњег врата написан у Go језику, што истиче његов помак ка модуларној и софистициранијој структури.
Преглед садржаја
Глобално ширење путем превара ClickFix-а
MacSync је идентификован широм света, а инфекције су концентрисане у Украјини, САД, Немачкој, Великој Британији и Шпанији. Злонамерни софтвер се дистрибуира првенствено путем ClickFix превара, које варају жртве да извршавају злонамерне команде на њиховим системима. Након извршења, MacSync започиње процес инфилтрације приказивањем лажне лозинке у покушају да прикупи податке са уређаја.
Двострука функционалност: крађа података и даљинско управљање
Након обезбеђивања приступа, MacSync покреће свој задњи улаз заснован на Go-у. Ова компонента се повезује са командно-контролним (C&C) сервером, омогућавајући нападачима да даљински извршавају команде. Истовремено, модул за крађу података прикупља осетљиве информације као што су:
- Лични фајлови
- Акредитиви за пријаву
- Новчаници са криптовалутама
Да би избегао откривање и отежао анализу, MacSync користи замагљивање кода и брише привремене датотеке повезане са својим операцијама.
Сврха модула за бекдвор
Задња врата (Backdoors) су дизајнирана да омогуће сајбер криминалцима тајни приступ компромитованим системима. MacSync-ова задња врата не само да олакшавају даљинско извршавање команди, већ и остављају врата отворена за додатне злонамерне модуле. Овај модуларни приступ значајно повећава потенцијал злонамерног софтвера да прошири своје могућности и додатно угрози заражене системе.
Ширење изван ClickFix-а
Иако преваре типа ClickFix са темом Cloudflare-а остају главни вектор дистрибуције, истраживачи упозоравају да би се MacSync могао ширити путем вишеструких метода дистрибуције. Сајбер криминалци се често ослањају на фишинг и друштвени инжењеринг како би прикрили злонамерни софтвер као легитимне датотеке или апликације.
Неке од најчешћих техника инфекције укључују:
- Онлајн преваре, злонамерно оглашавање и обмањујућа преузимања
- Сумњиви сајтови са бесплатним софтвером, извори за преузимање трећих страна и P2P мреже
- Злонамерни линкови или прилози у спам порукама
- Лажна ажурирања и илегална активација софтвера („крекови“)
- Ширење путем локалних мрежа и преносивих дискова (УСБ-ови, екстерни чврсти дискови итд.)
Завршне мисли
MacSync означава значајну еволуцију у односу на свог претходника mac.c комбиновањем операција крађе података са функционалностима „бекдора“. Његов модуларни дизајн и широке методе дистрибуције чине га посебно опасном претњом. Корисници треба да буду опрезни због фишинг кампања, сумњивих преузимања и лажних упита за ажурирање, јер су то и даље главни улази за овај злонамерни софтвер.
