La sicurezza di macOS si basa da anni su una serie di meccanismi ben collaudati, tra cui Gatekeeper, pensato per impedire l’esecuzione di software non verificato o potenzialmente dannoso. Tuttavia, come spesso accade, gli autori di malware continuano a evolvere le proprie tecniche e, secondo quanto emerso in queste ore, una nuova variante di MacSync Stealer è riuscita ad aggirare proprio Gatekeeper sfruttando il processo di notarizzazione di Apple.
Una dinamica che, almeno sulla carta, dovrebbe rappresentare una delle barriere più affidabili dell’ecosistema macOS.
MacSync Stealer cambia strategia e diventa più subdolo su macOS
Secondo l’analisi pubblicata dai ricercatori di Jamf Threat Labs, questa nuova variante di MacSync Stealer abbandona le tecniche più rumorose viste in passato, come i cosiddetti metodi ChickFix o il trascinamento di script dentro il Terminale (che richiedevano un’interazione esplicita dell’utente per bypassare Gatekeeper).
Questa volta infatti, il malware viene distribuito sotto forma di applicazione Swift firmata e notarizzata, presentata come un installer apparentemente legittimo chiamato zk-Call & Messenger; proprio perché l’eseguibile risulta correttamente autenticato, è sufficiente un doppio clic per avviarlo, senza dover ricorrere al classico Apri dal menù contestuale. Un dettaglio non da poco, perché abbassa drasticamente la soglia di attenzione richiesta dall’utente.
Analizzando più a fondo il file, i ricercatori hanno scoperto che l’installer è effettivamente firmato digitalmente, autenticato tramite il sistema Apple, nonché associato a un Team ID di sviluppatore valido.
Curiosamente però, il file pesa circa 25,5 MB, una dimensione sproporzionata rispetto al codice effettivamente necessario, questo perché l’app è stata deliberatamente gonfiata con file aggiuntivi, come PDF e altri contenuti inutili, con l’obbiettivo di apparire più credibile e simile a un normale pacchetto di installazione. Ed è qui che entra in gioco l’aspetto più insidioso.
A differenza di altri casi simili, il malware vero e proprio non è contenuto all’interno dell’app notarizzata, una volta eseguito l’installer si limita a contattare un server remoto, dal quale scarica ed esegue un payload secondario che installa MacSync Stealer sul sistema.
In altre parole, siamo di fronte a un dropper: la prima fase serve solo a superare i controlli di Gatekeeper, mentre l’infezione avviene successivamente, quando ormai il sistema ha abbassato la guardia. È proprio questo passaggio che rende il rilevamento durante la fase di notarizzazione estremamente complesso.
Jamf sottolinea come questo approccio rappresenti l’ennesima dimostrazione di quanto gli autori di malware stiano affinando le proprie strategie di distribuzione, in passato (già nel 2020), casi simili avevano mostrato come codice dannoso potesse superare la notarizzazione a causa dei limiti nei controlli automatici.
La differenza, questa volta, è che il codice malevolo non è presente durante la verifica, ma viene recuperato solo successivamente via internet, rendendo il processo di autenticazione molto meno efficace nel bloccare l’attacco sul nascere.
Jamf ha dichiarato di aver già segnalato l’ID dello sviluppatore ad Apple, che avrebbe provveduto a revocare il certificato associato; tuttavia, al momento della pubblicazione del report, non tutti gli hash risultavano ancora inseriti nelle liste di revoca di Apple, lasciando potenzialmente scoperti alcuni sistemi.
Per gli utenti macOS le raccomandazioni restano sempre le solite: installare software solo da fonti affidabili (preferibilmente dal Mac App Store), diffidare di installer scaricati da siti poco conosciuti, mantenere il sistema aggiornato, e utilizzare soluzioni di sicurezza aggiuntive, soprattutto in ambito professionale.
Insomma, anche in presenza di applicazioni firmate e notarizzate, la prudenza resta la prima linea di difesa. Al momento non è chiaro se Apple introdurrà ulteriori contromisure per evitare che questo tipo di tecnica venga replicata in futuro, ma è evidente che la partita tra sicurezza e malware su macOS è tutt’altro che conclusa.
I nostri contenuti da non perdere:
- 🔝 Importante: Recensione CMF Watch 3 Pro: costa poco ma vale ogni centesimo
- 💻 Scegli bene e punta al sodo: ecco le migliori offerte MSI notebook business Black Friday 2025
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo