MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke

Opisi virusa, 24.12.2025, 11:30 AM

Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje da je neki program bezbedan za instalaciju. Međutim, novo istraživanje stručnjaka iz Jamf Threat Labs pokazuje da su hakeri pronašli način da zaobiđu Apple-ov mehanizam provere aplikacija.

Istraživači su do ovog otkrića došli analizirajući malver pod nazivom MacSync Stealer. Sa prethodnim verzijama ovog malvera, napadi na Mac računare često su zahtevali nezgrapne trikove - korisnici su morali sami da prevlače fajlove u Terminal ili da kopiraju i lepe sumnjive komande da bi pokrenuli infekciju. Nova verzija ovog malvera uklanja te korake, čineći napad znatno opasnijim i teže uočljivim.

Najnovija varijanta malvera dolazi maskirana kao bezazleni instalacioni fajl za chat aplikaciju pod nazivom „zk-call“. Ono što ovaj napad čini posebno podmuklim jeste činjenica da je aplikacija bila digitalno potpisana i notarizovana, što znači da je Mac sistem prepoznaje kao legitimnu. Hakeri su za to iskoristili lažni programerski ID, kako bi prevarili Apple-ov mehanizam provere.

Prema navodima iz Jamf-ovog izveštaja, fajl je čak namerno „naduvan“ velikim, beskorisnim PDF-ovima kako bi izgledao kao ozbiljna i profesionalna aplikacija, a ne kao sumnjiv program.

Kada korisnik pokrene instalacioni fajl (zk-call-messenger-installer-3.9.2-lts.dmg), u pozadini se aktivira skriveni skript. Međutim, malver ne počinje odmah da pravi probleme. Umesto toga, ponaša se poput „uspavanog agenta“, čekajući pravi trenutak kako bi izbegao otkrivanje.

Zanimljivo je da je MacSync Stealer prilično „strpljiv“. On vodi sopstvenu evidenciju rada kroz fajl UserSyncWorker.log. Ako primeti da je već bio aktivan u poslednjih sat vremena, jednostavno se povlači i prestaje sa radom. Ovakvo ponašanje smanjuje sumnjivu aktivnost i otežava njegovo otkrivanje.

Pravi cilj napada je ozbiljan udar na privatnost korisnika. Malver traži fajl login.keychain-db, u kojem macOS čuva sve sačuvane lozinke - od mejlova i društvenih mreža do bankarskih naloga. Da bi došao do tih podataka, može da prikaže lažni prozor koji od korisnika traži unos sistemske lozinke.

Upravo zato stručnjaci upozoravaju: ako vam se odmah nakon instalacije nove aplikacije pojavi neočekivan zahtev za unos lozinke, to je ozbiljan znak za uzbunu.

Apple je u međuvremenu opozvao digitalni sertifikat koji su napadači koristili, ali ovaj incident jasno pokazuje da čak ni aplikacije koje su prošle Apple-ov proces provere ne treba automatski smatrati potpuno bezbednim.