MacSync: бюджетный стилер для macOS превратился в полноценный бэкдор

Всего через месяц этот скромный стилер претерпел неожиданную трансформацию. Теперь он известен под названием MacSync и включает в себя полнофункциональный агент на языке Go, действующий как бэкдор (задняя дверь). Это расширяет его возможности далеко за пределы простого сбора данных. MacSync стал одним из первых известных случаев модульного стилера для macOS с функциями удаленного управления.

Ребрендинг проекта сопровождался сменой владельца. Как рассказал в интервью исследователю безопасности @g0njxa представитель команды MacSync, изначальный проект рисковал прекратить существование, поэтому был продан для обеспечения дальнейшего развития. Примечательно, что команда разработчиков при этом сохранилась. По словам собеседника, аудитория проекта хоть и невелика, но уже достигла трех десятков пользователей. В будущем злоумышленники планируют сделать акцент на фишинге в сочетании с уязвимостями конкретных приложений.

Анонсированное расширение функционала не заставило себя ждать. В день публикации был обнаружен новый образец (SHA256: a42eece43aad2e2a2f98d41b1b48025c252452318a864d32d0f9156adaabe65b), связанный с MacSync. Согласно сообщениям на Reddit, он распространялся через известную кампанию "ClickFix", где пользователям показывали поддельное окно Cloudflare Turnstile с просьбой скопировать команду. Вместо ожидаемого действия вставлялся закодированный в Base64 скрипт на AppleScript, который выполнялся в фоновом режиме, похищал данные и устанавливал новый бэкдор.

Основной механизм кражи данных остался прежним - скрипт собирает конфиденциальную информацию (учетные данные, криптокошельки), архивирует ее в /tmp/salmonela.zip и отправляет POST-запросом на https://meshsorterio[.]com/api/data/receive. Затем следует проверка работоспособности на /api/health, после чего скрипт загружает бэкдор с https://gamma[.]meshsorterio[.]com/trovo/index.php, распаковывает и запускает его как ./shell с задержкой в 30 секунд.

Ключевое нововведение - это замаскированный исполняемый файл Go Mach-O, демонстрирующий поведение агента. Использование обфускации (запутывания кода) усложняет статический анализ, но динамическое исследование и перехват сетевого трафика позволили изучить его функционал. Агент работает в фоновом режиме, регистрируется на сервере управления через POST-запрос к /api/external/machines/me, а затем опрашивает очередь команд с интервалом в 5 секунд сразу после запуска и каждые 30 секунд в штатном режиме.

Команды получаются через GET-запрос к /api/external/machines/commands/. Тестирование с помощью инъекции команды "echo BOOM; exit 42" подтвердило возможность удаленного выполнения кода. Агент выполняет команды и отправляет результаты на сервер через POST-запрос к /api/external/machines/result. Анализ строк в двоичном файле выявил все ключи, используемые в протоколе взаимодействия с сервером управления, включая sudo_password, что указывает на интеграцию с фишингом учетных данных для повышения привилегий.

Архитектурно MacSync отличается от другого известного стилера AMOS, который использует компоненты на языке C и вызывает curl для сетевого взаимодействия, создавая заметные артефакты. MacSync написан на Go и использует встроенную библиотеку net/http для HTTPS-запросов, что снижает уровень шума на хосте. Модульная структура разделяет функции кража данных и бэкдора, что повышает гибкость и скрытность.

Телеметрия CleanMyMac от MacPaw подтверждает, что MacSync уже достиг пользователей в нескольких странах, с наибольшим числом детекций в Украине, США, Германии и Великобритании. Хотя объем заражений пока невелик (сотни случаев против десятков тысяч у AMOS), распространение по разным регионам свидетельствует о растущем интересе со стороны трафферных групп.

История MacSync напоминает, что в мире вредоносного ПО цена и доступность иногда важнее изощренности. Простой бюджетный стилер превратился в модульный инструмент удаленного доступа с поддержкой повторного использования учетных данных и REST-оповещениями. Это создает реальные риски для пользователей, включая перехват аккаунтов и кражу активов, а для компаний - риск раскрытия исходного кода, компрометации учетных данных и последующих атак.

Переход от шумных команд к нативным HTTP-клиентам на Go делает MacSync более трудным для обнаружения. Защитникам необходимо переносить методы детектирования с уровня командной строки на сетевой уровень, уделяя внимание небольшим и тихим агентам, способным нанести серьезный ущерб. Пространство угроз для macOS продолжает нагреваться, и требуется совместная работа для отслеживания этой эволюции.

Domains

• _msdcs.meshsorterio.com
• _tcp.meshsorterio.com
• b3e34878-5a7d-458b-8a35-3ea1dae23fdd.meshsorterio.com
• brsp.meshsorterio.com
• cnct.meshsorterio.com
• con.meshsorterio.com
• d.meshsorterio.com
• dev.meshsorterio.com
• gamma.meshsorterio.com
• meshsorterio.com
• plsp.meshsorterio.com
• rxkbnwuc.meshsorterio.com
• sphnugamma.meshsorterio.com
• staging.meshsorterio.com
• testing.meshsorterio.com
• www.meshsorterio.com

SHA256

• a42eece43aad2e2a2f98d41b1b48025c252452318a864d32d0f9156adaabe65b
• cfd338c16249e9bcae69b3c3a334e6deafd5a22a84935a76b390a9d02ed2d032