Программа‑похититель Mac.c, разработанная злоумышленником с псевдонимом „mentalpositive“, прошла значительную трансформацию и превратилась в более развитое вредоносное ПО под названием MacSync. Первоначально запущенный в апреле 2025 года, mac.c отличался минимальной скрытностью и ограниченной функциональностью, но быстро получил распространение благодаря низкой стоимости. Переход к архитектуре MacSync демонстрирует целенаправленную эволюцию — от простого инструмента к многофункциональному агенту с возможностями командования и контроля.
Ключевые компоненты MacSync
Основу MacSync составляют два взаимодополняющих элемента:
- AppleScript payload — «полезная нагрузка», которая активно собирает конфиденциальные данные на заражённых macOS‑машинах, включая учетные данные пользователей и кошельки криптовалют.
- Go‑бэкдор — новый компонент, запущенный как фоновый процесс; он расширяет возможности MacSync и обеспечивает устойчивое соединение с инфраструктурой злоумышленников.
Механизм сбора и эксфильтрации данных
Собранные AppleScript данные упаковываются в zip‑архив с фиксированным именем /tmp/salmonela.zip. После этого архив отправляется на сервер командования и контроля (C2) с помощью HTTP POST‑запроса к адресу:
https://meshsorterio.com/api/data/receive
Трафик MacSync идентифицируется использованием нестандартного заголовка X-Bid, который применяется для различения собственных коммуникаций злоумышленника от обычного сетевого трафика.
Регистрация и интерактивность агента
После запуска встроенный бэкдор регистрирует машину на сервере C2 через POST‑запрос в /api/external/machines/me, что устанавливает канал для дальнейшего управления. Анализ двоичного файла показывает внутреннюю JSON‑схему с ключами:
- "os"
- "arch"
- "username"
- "exit_code"
Эти поля используются для обмена телеметрией и состояния выполнения команд. Результаты тестирования показывают, что агент способен выполнять произвольные команды, полученные с сервера C2, что делает MacSync полноценным инструментом для последующей эксплуатации и проникновения.
Чем MacSync отличается от AMOS
Сравнение с другим вариантом вредоносного ПО, AMOS, подчёркивает принципиальные различия в подходе авторов:
- AMOS включает компоненты на основе зашумленного C, которые легче обнаруживаются современными системами EDR (Endpoint Detection and Response).
- MacSync использует более совершенную архитектуру — сочетание AppleScript для сбора данных и Go‑бэкдора для управления — что потенциально обеспечивает более скрытную и устойчивую коммуникацию.
География распространения и телеметрия
Появляющаяся телеметрия от CleanMyMac компании MacPaw указывает на расширение распространения MacSync с заметными показателями обнаружения в Европе и Северной Америке. Это свидетельствует о растущем влиянии нового инструментария в ландшафте угроз для macOS‑платформ.
«Переход с mac.c на MacSync иллюстрирует стратегический сдвиг в приоритетах злоумышленника: эффективность доступа и извлечения данных становится важнее сложности исходного кода», — так можно охарактеризовать текущую эволюцию.
Индикаторы компрометации (IoC)
- Файл архива: /tmp/salmonela.zip
- Целевой URL для эксфильтрации: https://meshsorterio.com/api/data/receive
- Регистрация агента: /api/external/machines/me
- HTTP‑заголовок: X-Bid
- Незнакомые фоновые процессы на основе Go; необычная активность AppleScript
- JSON‑поля в сетевом трафике: "os", "arch", "username", "exit_code"
Рекомендации по защите
С учётом архитектуры MacSync организации и пользователи macOS должны рассмотреть следующие меры:
- Мониторить исходящие POST‑запросы на meshsorterio.com и другие подозрительные домены, а также наличие нестандартного заголовка X-Bid.
- Отслеживать создание и доступ к /tmp/salmonela.zip и другим временным архивам.
- Ограничить выполнение AppleScript там, где это возможно, и применять политики контроля приложений (например, MDM‑профили и системные настройки безопасности).
- Обновить EDR/AV‑правила для обнаружения нетипичных Go‑процессов и командной активности агента.
- Провести инвентаризацию и сегментацию сети, чтобы ограничить возможность дальнейшего распространения и доступа к критичным ресурсам.
Вывод
Эволюция от mac.c к MacSync — яркий пример того, как злоумышленники могут быстро дорабатывать и масштабировать инструменты, делая упор на надёжность доступа и эксфильтрацию данных. Современные угрозы для macOS перестали быть редкостью, и их успешная нейтрализация требует сочетания сетевого мониторинга, контроля исполнения скриптов и своевременного обновления защитных средств.
Внимание к деталям коммуникации и быстрый отклик на индикаторы компрометации останутся ключевыми факторами для защиты от таких угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "MacSync: эволюция mac.c в скрытный бэкдор с C2".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.