Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware de MacSync

Malware de MacSync

Por Mezo en Software malicioso, Ladrones
Traducir a:

MacSync es una variante renovada y mejorada del ladrón mac.c, que apareció por primera vez en la primavera de 2025. Tan solo un mes después, el malware reapareció con su nuevo nombre. Si bien conserva las capacidades de robo de datos de su predecesor, MacSync introduce un componente de puerta trasera adicional. Cabe destacar que el ladrón original se desarrolló en C, mientras que el módulo de puerta trasera está escrito en Go, lo que pone de manifiesto su transición hacia una estructura modular y más sofisticada.

Propagación global de estafas de ClickFix

MacSync se ha identificado en todo el mundo, con infecciones concentradas en Ucrania, EE. UU., Alemania, Reino Unido y España. El malware se distribuye principalmente mediante estafas de ClickFix, que engañan a las víctimas para que ejecuten comandos maliciosos en sus sistemas. Una vez ejecutado, MacSync inicia su proceso de infiltración mostrando una solicitud de contraseña falsa para intentar obtener las credenciales del dispositivo.

Doble funcionalidad: robo de datos y control remoto

Tras asegurar el acceso, MacSync implementa su puerta trasera basada en Go. Este componente se conecta a un servidor de Comando y Control (C&C), lo que permite a los atacantes ejecutar comandos de forma remota. Al mismo tiempo, el módulo de robo de datos recopila información confidencial como:

  • Archivos personales
  • Credenciales de inicio de sesión
  • Monederos de criptomonedas

Para evadir la detección y obstaculizar el análisis, MacSync utiliza la ofuscación de código y borra los archivos temporales vinculados a sus operaciones.

El propósito del módulo de puerta trasera

Las puertas traseras están diseñadas para otorgar a los ciberdelincuentes acceso secreto a los sistemas comprometidos. La puerta trasera de MacSync no solo facilita la ejecución remota de comandos, sino que también deja la puerta abierta a módulos maliciosos adicionales. Este enfoque modular aumenta significativamente el potencial del malware para expandir sus capacidades y comprometer aún más los sistemas infectados.

Proliferación más allá de ClickFix

Si bien las estafas ClickFix basadas en Cloudflare siguen siendo el principal vector de propagación, los investigadores advierten que MacSync podría propagarse mediante múltiples métodos. Los ciberdelincuentes suelen recurrir al phishing y la ingeniería social para camuflar malware en archivos o aplicaciones legítimos.

Algunas de las técnicas de infección más comunes incluyen:

  • Estafas en línea, publicidad maliciosa y descargas engañosas
  • Sitios de software gratuito sospechosos, fuentes de descarga de terceros y redes P2P
  • Enlaces o archivos adjuntos maliciosos en mensajes de spam
  • Actualizaciones falsas y activación ilegal de software ('cracks')
  • Propagación a través de redes locales y unidades extraíbles (USB, discos duros externos, etc.)

Reflexiones finales

MacSync representa una evolución significativa respecto a su predecesor, mac.c, al combinar operaciones de robo de datos con funciones de puerta trasera. Su diseño modular y sus amplios métodos de distribución lo convierten en una amenaza especialmente peligrosa. Los usuarios deben estar alerta ante campañas de phishing, descargas sospechosas y solicitudes de actualización falsas, ya que estas siguen siendo las principales vías de acceso para este malware.

Tendencias

Alerta sobre estafas de correo electrónico...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes siguen utilizando el correo electrónico como una de las herramientas más eficaces para el phishing. Se ha observado una estafa, identificada como la campaña de correo electrónico "Alerta sobre las credenciales de su sistema", que engaña a los usuarios para que proporcionen sus datos de acceso personales. Estos mensajes fraudulentos no están afiliados a ninguna empresa,...

Mas Visto

Cargando...