Advertencia sobre el MacSync Stealer
La firma de seguridad blockchain SlowMist ha advertido sobre un nuevo infostealer para macOS, altamente destructivo, denominado «MacSync Stealer» (v1.1.2). Esta campaña activa de malware está específicamente dirigida a usuarios de Apple con el objetivo de drenar billeteras de criptomonedas y exfiltrar credenciales de infraestructura altamente sensibles.
Tácticas de Ingeniería Social
Los actores maliciosos emplean tácticas engañosas de ingeniería social para eludir las defensas del usuario. El malware utiliza diálogos de sistema de AppleScript falsos que imitan los mensajes de contraseña legítimos de macOS para robar las credenciales de inicio de sesión del usuario. Una vez que la víctima cae en la trampa, el malware exfiltra silenciosamente sus datos en segundo plano.
Para no levantar sospechas, MacSync Stealer muestra un mensaje de error falso de «no soportado» inmediatamente después de completar la extracción de datos, haciendo que parezca que la aplicación simplemente falló al iniciar.
Objetivos del Malware
Además de los usuarios de criptomonedas, el malware también apunta a credenciales de navegador, llaveros del sistema macOS y claves de infraestructura crítica, incluyendo credenciales de SSH, AWS y Kubernetes (K8s).
Campañas Relacionadas
Este no es un incidente aislado. El equipo de seguridad de Bybit ha descubierto recientemente una campaña de malware que apunta a usuarios de macOS que buscan Claude Code. Asimismo, Microsoft Threat Intelligence expuso una campaña altamente dirigida de macOS orquestada por «Sapphire Sleet», un conocido actor de amenazas patrocinado por el estado norcoreano. Sapphire Sleet utiliza ingeniería social avanzada para hacerse pasar por actualizaciones de software legítimas de macOS y robar billeteras de criptomonedas.
Otros Infostealers
También es importante mencionar el malware «Infinity Stealer», que ha demostrado cómo los métodos de ataque centrados en Windows se están adaptando para macOS. Este utiliza la técnica «ClickFix» para presentar a las víctimas una página CAPTCHA falsa. Por último, la firma de ciberseguridad SOC Prime ha identificado «MioLab», un infostealer de macOS distribuido comercialmente, diseñado específicamente para apuntar a víctimas de alto valor, incluyendo a los poseedores de criptomonedas.
