Expertos de Jamf Threat Labs descubrieron una variante de MacSync Stealer que utiliza aplicaciones firmadas y notariadas para infectar computadoras
30.12.2025 • 09:33hs • Ciberseguridad
Ciberseguridad
Alerta usuarios de Mac: el virus "invisible" que engañó a Apple para robar tus datos
:quality(75):max_bytes(102400)/https://assets.iproup.com/assets/jpg/2025/03/42133.jpg)
La seguridad de las computadoras Mac se ve desafiada por una versión evolucionada de MacSync Stealer, un software malicioso diseñado específicamente para el robo de información.
A diferencia de ataques previos que requerían que el usuario copiara códigos sospechosos, esta nueva variante adopta un enfoque "sin intervención", presentándose como una aplicación legítima, como un servicio de mensajería convencional.
Lo más preocupante de este hallazgo es que el malware se distribuye como una aplicación escrita en Swift (el lenguaje de programación de Apple), cuenta con una firma asociada a una ID de desarrollador y, hasta hace poco, había sido notariada por la propia Apple.
Esta validación permitía que el programa se ejecutara sin disparar las alertas de seguridad habituales del sistema operativo.
Cómo funciona la amenaza silenciosa
Según el análisis detallado de Jamf Threat Labs, el ataque se divide en fases cuidadosamente diseñadas para evitar la detección temprana:
- Distribución "inflada": El malware llega en una imagen de disco de 25,5 MB, un tamaño inusualmente grande que parece estar "inflado" con archivos señuelo para ocultar el código real.
- Análisis de entorno: Una vez ejecutada, la aplicación analiza la conexión a internet y el estado del equipo para confirmar que no está siendo monitoreada por investigadores de seguridad.
- Descarga de segunda fase: Si el entorno es "seguro", el programa se conecta a un servidor externo para descargar e instalar el código malicioso definitivo que ejecutará el robo de datos.
La respuesta de Apple
Los analistas de Jamf advierten que este cambio en la distribución refleja una tendencia peligrosa: los atacantes buscan introducir malware en ejecutables firmados para simular ser aplicaciones confiables.
"Al aprovechar estas técnicas, los atacantes reducen las posibilidades de ser detectados a tiempo", señalaron desde la firma de ciberseguridad.
Tras recibir el informe técnico, Apple reaccionó de inmediato revocando la certificación del ID del equipo de desarrolladores involucrado, invalidando así la capacidad del malware para ejecutarse en nuevos equipos.
Sin embargo, el incidente subraya que la confianza ciega en las aplicaciones firmadas ya no es suficiente y que los usuarios deben mantener una vigilancia activa sobre las fuentes de descarga
