Investigadores de seguridad de Jamf Threat Labs han alertado sobre una nueva metodología de ataque que simplifica la elusión de las protecciones de macOS. En lugar de intentar engañar al usuario para que desactive manualmente Gatekeeper, por ejemplo, a través de comandos en Terminal o mediante el menú contextual, los atacantes ahora emplean una vía considerablemente más sencilla.
La nueva variante se distribuye como una aplicación basada en Swift, firmada digitalmente y notarizada por Apple. Se solicita al usuario que descargue e inicie un instalador para una aplicación supuestamente llamada “zk-Call & Messenger”.
Debido a que el programa está correctamente firmado, basta con hacer doble clic para ejecutarlo sin intervención de Gatekeeper. A primera vista, el instalador parece legítimo y, además, es inusualmente grande, con aproximadamente 25,5 MB, a pesar de que el script subyacente al ataque es pequeño. Según Jamf, el archivo se ha rellenado con contenido adicional, incluidos archivos PDF, para dar la impresión de ser un paquete de instalación serio.
Sin embargo, el malware en sí no está incluido en la aplicación. En cambio, al ejecutar el instalador, este descarga una carga útil secundaria de un servidor externo, donde se descarga e instala MacSync Stealer.
El análisis revela que el ataque aún se basa en un modelo clásico de “dropper”, con muchas de las características presentes en versiones anteriores de MacSync Stealer. La diferencia clave es que la primera fase ahora supera Gatekeeper sin obstáculos gracias al sello de notarización.
Jamf considera que este es otro ejemplo de cómo los desarrolladores de malware refinan sus métodos de distribución para maximizar la propagación. La combinación de Swift, firma de código, aplicación notarizada y un segundo paso externo es algo que la empresa no había observado previamente en esta forma específica.
Problemas similares han ocurrido antes. Ya en 2020 se detectaron casos de código malicioso que logró ser notarizado por Apple, ya que se ocultó de manera que no fue detectado durante el proceso de control. La diferencia crucial ahora es que la aplicación notarizada no contiene código malicioso en absoluto, sino que lo descarga solo después de que se hayan superado los controles de Apple, lo que dificulta considerablemente su detección.
Jamf informa que ha notificado el ID de desarrollador correspondiente a Apple y que el certificado detrás de la aplicación ha sido revocado. Sin embargo, no todos los hash de código asociados se incluyeron en la lista de bloqueo en el momento del informe.
Para los usuarios de Mac, las reglas básicas siguen siendo las mismas: tenga cuidado de dónde descarga programas, instale solo software de desarrolladores de confianza o a través de la Mac App Store y sea escéptico incluso con las aplicaciones que, a primera vista, parecen “aprobadas”. La notarización es una protección importante, pero, como demuestra este caso, no es una protección absoluta contra ataques avanzados.
