MacSync Stealer se ha convertido en uno de los ejemplos más claros de cómo el malware para macOS ha dado un salto de calidad. Lo que antes eran ataques algo toscos, que exigían al usuario copiar y pegar comandos en el Terminal, ahora se ha transformado en una amenaza mucho más sigilosa que se camufla como si fuera software totalmente legítimo.
Según distintos análisis de laboratorios especializados en seguridad para dispositivos Apple, la última variante de este ladrón de información aprovecha firmas digitales válidas y el proceso de notariado oficial de Apple. Esto le permite pasar los filtros automáticos del sistema, engañar a herramientas como Gatekeeper o XProtect y, de paso, generar confianza en usuarios que dan por hecho que todo lo notariado es seguro.
Un ladrón de información que se disfraza de app legítima
MacSync Stealer es un stealer para macOS especializado en el robo de datos e incluso en el control remoto del equipo. Nació como evolución de una amenaza conocida como Mac.c, pero la versión actual va un paso más allá: incluye un agente desarrollado en Go con más capacidades que el simple saqueo de credenciales.
En las campañas analizadas, el ataque llega al usuario en forma de un instalador de una supuesta aplicación de mensajería. Uno de los ejemplos detectados es un archivo de imagen de disco DMG llamado zk-call-messenger-installer-3.9.2-lts.dmg, alojado en un dominio que imita a un servicio de comunicaciones (zkcallnet/download).
Dentro de esa imagen de disco se incluye una aplicación escrita en Swift, el lenguaje de programación de Apple, firmada con un ID de desarrollador aparentemente legítimo y notariada por la propia compañía. Al contar con una firma válida, macOS trata el software como confiable, lo que reduce avisos de seguridad y frena las sospechas del usuario medio.
Aunque esté firmada y notariada, la app maliciosa puede mostrar instrucciones adicionales, como pedir al usuario que haga clic derecho y seleccione «Abrir» para saltarse restricciones adicionales de Gatekeeper, una maniobra bastante habitual en campañas de malware para macOS.
De los métodos manuales a la infección casi automática
Las primeras variantes de este malware se apoyaban en técnicas tipo ClickFix o “drag-to-terminal”, que obligaban a la víctima a arrastrar archivos al Terminal o pegar comandos para que se ejecutara la infección. Eran ataques molestos, pero al menos exigían una acción consciente por parte del usuario.
La versión más reciente abandona ese planteamiento y opta por un enfoque mucho más cómodo para los atacantes: un proceso de instalación prácticamente sin intervención. El usuario cree estar instalando una app de mensajería o productividad y, mientras tanto, el instalador en Swift actúa como «dropper», es decir, como componente que descarga y lanza la carga maliciosa real.
Una vez se ejecuta en el Mac, el software realiza primero un reconocimiento del entorno. Comprueba, entre otros puntos, si hay conexión a Internet disponible, valida el contexto de ejecución y se asegura de que se cumplen unas condiciones mínimas para seguir adelante. Solo cuando todo está en orden contacta con un servidor remoto bajo control de los atacantes.
Desde ese servidor se descarga un script codificado y otros módulos que componen la segunda fase del ataque. El uso de variables dinámicas y cambios sutiles en los comandos de descarga —por ejemplo, dividir opciones habituales de curl o añadir parámetros como --noproxy— apunta a una intención clara de mejorar la fiabilidad del ataque y, al mismo tiempo, esquivar reglas de detección basadas en patrones conocidos.
Además, el dropper elimina atributos de cuarentena y valida los archivos antes de ejecutarlos, pasos pensados para evitar señales que pudieran delatar la presencia de código sospechoso a los mecanismos de seguridad integrados en macOS.
Imágenes DMG infladas y trucos para pasar desapercibido
Otro rasgo que ha llamado la atención de los equipos de investigación es el tamaño del archivo de instalación. Las campañas con MacSync Stealer están utilizando imágenes de disco inusualmente grandes, en torno a 25,5 MB. Esta cifra se consigue inflando el DMG con documentos PDF u otros archivos que no tienen nada que ver con la aplicación real.
Este relleno cumple una doble función: por un lado, hace que el instalador parezca más «serio» y profesional de cara al usuario, ya que la gente tiende a desconfiar menos de aplicaciones que ocupan cierto tamaño. Por otro, complica el análisis automatizado, porque las soluciones de seguridad tienen que procesar mucha más información irrelevante antes de llegar al contenido malicioso.
El malware también presta atención al tiempo de ejecución. En algunas muestras se ha observado la creación de un archivo de registro, UserSyncWorker.log, que permite al stealer llevar un control de cuándo se ha ejecutado por última vez. Si detecta que ya ha corrido en la última hora (unos 3.600 segundos), se detiene y «duerme» hasta más adelante.
Este tipo de limitación o «throttling» reduce la cantidad de actividad sospechosa en poco tiempo y hace más complicado que un antivirus o un sistema de monitorización detecte un comportamiento anómalo constante. En la práctica, el malware se comporta como un «agente durmiente» que pasa inadvertido durante buena parte del tiempo.
El objetivo principal es acceder a información de alto valor para el usuario. MacSync Stealer busca, entre otros elementos, el archivo login.keychain-db, donde macOS guarda contraseñas y otros secretos. Para conseguirlo puede llegar a mostrar ventanas falsas pidiendo la contraseña de sistema justo después de la instalación, lo que, si el usuario no está atento, abre la puerta al robo masivo de credenciales.
Respuesta de Apple y tendencia en el malware para macOS
Tras los avisos de empresas como Jamf Threat Labs y otros investigadores, Apple ha revocado los certificados de firma asociados a los desarrolladores implicados en la distribución de MacSync Stealer. Esta revocación impide que las mismas firmas se sigan utilizando para propagar nuevas muestras con la apariencia de software confiable.
Aun así, el incidente pone de relieve una realidad incómoda: el hecho de que una aplicación esté firmada y notariada no garantiza por sí solo que sea segura. Los procesos de revisión y notariado reducen riesgos, pero no son infalibles, y los atacantes están aprendiendo a moverse dentro de esos márgenes.
Los analistas apuntan a una tendencia cada vez más clara en el ecosistema de amenazas para macOS: los ciberdelincuentes quieren colar su malware dentro de ejecutables que cumplen todos los requisitos formales de Apple. Al aprovechar los sistemas de confianza oficiales, logran parecer aplicaciones legítimas y aminoran la probabilidad de ser bloqueados o levantan menos sospechas entre quienes instalan el software.
Esta evolución encaja con un contexto más amplio en el que las plataformas tradicionalmente vistas como «más seguras», como macOS o Linux, se han convertido en objetivos prioritarios. El crecimiento del parque de Macs en empresas europeas y españolas, así como su presencia en entornos creativos, educativos y de administración, hace que cada credencial robada pueda tener un valor considerable en el mercado negro.
Por su parte, los expertos insisten en que la seguridad ya no puede delegarse solo en las capas automáticas del sistema. La combinación de ingeniería social —apps que parecen productivas o de mensajería, nombres cuidadosamente escogidos, páginas web con apariencia profesional— y abuso de certificados válidos obliga a los usuarios a extremar las precauciones con cualquier software descargado fuera de canales oficiales.
El caso de MacSync Stealer dibuja un escenario en el que las barreras tradicionales de macOS siguen siendo útiles, pero dejan huecos que los actores maliciosos están aprendiendo a explotar. La presencia de instaladores DMG inflados, la automatización de la infección, los cambios en los comandos de descarga y el aprovechamiento de la infraestructura de confianza de Apple muestran hasta qué punto el malware para Mac se ha profesionalizado y por qué resulta cada vez más importante revisar con calma qué se instala, de dónde se descarga y qué permisos se concede en cada momento.
