New MacSync: malware stealer para macOS usa app firmada para evadir Apple Gatekeeper

Investigadores de ciberseguridad alertaron sobre New MacSync, un nuevo stealer para macOS que destaca por utilizar una aplicación firmada digitalmente para eludir los controles de Apple Gatekeeper, el mecanismo de seguridad diseñado para bloquear software no confiable en equipos Mac.

El hallazgo refuerza la preocupación creciente en torno al abuso de certificados legítimos por parte de actores maliciosos, una técnica que reduce las advertencias al usuario y aumenta significativamente la tasa de infección en entornos corporativos y personales.

Cómo funciona New MacSync

New MacSync se distribuye como una aplicación aparentemente legítima, firmada con un certificado válido, lo que permite su ejecución sin alertas críticas de Gatekeeper. Una vez instalado, el malware actúa como information stealer.

Sus capacidades observadas incluyen:

• Robo de credenciales del llavero de macOS.

• Extracción de datos de navegadores basados en Chromium y Safari.

• Recolección de cookies, historiales y sesiones activas.

• Exfiltración de información a servidores remotos controlados por el atacante.

El uso de una app firmada le permite a MacSync romper la falsa percepción de seguridad asociada a los avisos del sistema operativo.

Vector de infección

Las campañas detectadas utilizan principalmente:

• Sitios web falsos que simulan actualizaciones de software o utilidades de sincronización.

• Archivos distribuidos como instaladores DMG con nombres genéricos y confiables.

• Ingeniería social orientada a usuarios que desactivan verificaciones adicionales por “urgencia” o “compatibilidad”.

Una vez que el usuario ejecuta la aplicación, el malware solicita permisos estándar que pasan desapercibidos, especialmente en equipos donde los usuarios no revisan con detalle los diálogos del sistema.

Por qué Gatekeeper no fue suficiente

Apple Gatekeeper valida que una app esté:

1. Firmada con un certificado válido.

2. Notarizada por Apple (en muchos casos).

New MacSync aprovecha certificados que no han sido revocados al momento de la distribución, lo que le permite superar esta verificación inicial. Esto demuestra que la firma de código ya no es un indicador suficiente de confianza, especialmente frente a malware de rápida rotación.

Impacto para empresas y usuarios técnicos

Aunque macOS mantiene una menor cuota de malware frente a Windows, ataques como New MacSync muestran una tendencia clara al targeting de usuarios Apple, particularmente:

• Desarrolladores.

• Profesionales de TI.

• Usuarios con acceso a billeteras cripto o credenciales corporativas.

El robo de cookies y sesiones permite ataques posteriores sin necesidad de contraseñas, elevando el riesgo de compromiso lateral en entornos empresariales.

Recomendaciones de mitigación

Especialistas recomiendan reforzar controles más allá de Gatekeeper:

• Utilizar EDR/XDR compatibles con macOS.

• Restringir la ejecución de apps mediante MDM y políticas de allowlist.

• Verificar certificados y origen real del software, incluso si está firmado.

• Mantener macOS y XProtect actualizados.

• Educar a usuarios sobre ingeniería social y falsos instaladores.

Tendencia: malware macOS más profesionalizado

New MacSync confirma una evolución clara: el malware para macOS ya no depende de exploits complejos, sino de abuso de confianza, firmas válidas y experiencia de usuario pulida. Para los equipos de seguridad, esto implica tratar a macOS con el mismo nivel de monitoreo y defensa que otros sistemas operativos.