Під псевдонімом mentalpositive у квітні 2025 року з’явився простий, але дуже дешевий стілер для macOS під назвою mac.c. Через низьку ціну та простоту розгортання він швидко привернув увагу траферних груп, які розповсюджують шкідливий код через фішингові сторінки та зловмисну рекламу.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
Вже через місяць проєкт зазнав ребрендингу і вийшов під ім’ям MacSync – модульний інструмент, у якому з’явився повнофункціональний бекдор-агент, написаний на Go. За інформацією дослідників і повідомленнями в тематичних пабліках, власник проєкту змінився, але команда розробників лишилася, а кількість користувачів-замовників сягнула кількох десятків.
Практична кампанія показала, як працює ланцюжок зараження. Зразки пов’язували з відомою соціально-інженерною технікою «ClickFix», коли користувачам показують підроблене вікно Cloudflare Turnstile і пропонують скопіювати команду – замість очікуваної дії запускається Base64-закодований AppleScript, що тихо збирає дані та завантажує інструмент віддаленого доступу.
Техніка та архітектура MacSync відрізняються від інших відомих стилерів. Якщо AMOS і подібні сімейства часто складаються з компонентів на C і викликають curl для мережевих запитів (що залишає помітні артефакти), MacSync реалізовано на Go з використанням вбудованого net/http – це знижує «шум» на хості й ускладнює статичний аналіз через обфускацію бінарів Mach-O. Модульна структура розділяє збір конфіденційних даних і функції бекдору, роблячи інструмент гнучким.
Агент реєструється на C2 та опитує чергу команд: перша перевірка відбувається відразу після запуску з інтервалом ≈5 секунд, у штатному режимі – кожні ~30 секунд. Команди отримуються через /api/external/machines/commands/, виконуються на хості, а результати відправляються назад на /api/external/machines/result. Дослідники підтверджували можливість віддаленого виконання команд під час тестів. У бінарі виявлені ключі протоколу, зокрема sudo_password, що вказує на інтеграцію з фішингом для ескалації привілеїв.
Захисники також відзначають зміни в тактиці: простота і низька ціна можуть зробити MacSync привабливим для малих кіберзлочинних груп, які не мають ресурсів розробляти складні інструменти. Телеметрія вказує на виявлення випадків у кількох країнах (зокрема Україна, США, Німеччина, Великобританія), хоча поки загальна кількість заражень менша, ніж у лідерів ринку стилерів.
MacSync – наочний приклад того, як бюджетний стілер може еволюціонувати в потужніший інструмент із віддаленим керуванням. Захисникам час переводити фокус із простого виявлення «шумних» артефактів на мережеву та поведінкову телеметрію, адже саме там ховаються нові загрози для macOS.
Читайте також:
- OpenAI представляє нові функції безпеки для підлітків у ChatGPT
- Британський стартап створив перший квантовий комп’ютер на звичайних чипах