Beveiligingsonderzoekers ontdekten een nieuwe variant van de MacSync-malware die Apple’s cruciale Gatekeeper-beveiliging volledig omzeilt. De malware verstopte zich in een digitaal ondertekende app die zonder problemen door Apple’s controle kwam. Wachtwoorden, bankgegevens en cryptoportemonnees staan op het spel.
Mac-gebruikers houden graag vast aan het idee dat hun systeem inherent veiliger is dan Windows. En tot op zekere hoogte klopt dat ook: er is minder malware voor macOS, en Apple’s beveiligingslagen maken het moeilijker om schadelijke software te installeren. Maar die zekerheid kreeg een flinke deuk door de ontdekking van een nieuwe variant van de MacSync-malware. Deze infostealer wist zich te verbergen in een digitaal ondertekende app – compleet met Apple’s goedkeuring – en omzeilde daarmee Gatekeeper, een van de belangrijkste verdedigingsmechanismen van macOS. De vraag is niet meer óf Mac-malware bestaat, maar hoe vaak dit soort doorbraken onopgemerkt blijven.
Digitaal ondertekend én goedgekeurd door Apple
Het probleem begint bij een ogenschijnlijk legitieme app: een schijfkopie genaamd ‘zk-call-messenger-installer-3.9.2-lts.dmg’, die wordt verspreid via de website zkcall[.]net/download. Op het eerste gezicht ziet alles er normaal uit: de app is digitaal ondertekend, wat betekent dat ze een certificaat van Apple heeft gekregen. Bovendien is de app automatisch gekeurd door Apple’s systemen, zonder dat er alarmbellen afgingen.
Dat is zorgwekkend, want Gatekeeper – het beveiligingssysteem van macOS dat niet-geverifieerde apps tegenhoudt – vertrouwt volledig op die digitale handtekeningen. Als een app ondertekend is door een geregistreerde ontwikkelaar en door Apple is goedgekeurd, mag Gatekeeper ervan uitgaan dat het veilig is. In dit geval was dat een fatale aanname.
Beveiligingsonderzoekers van Jamf, een macOS-beheerplatform, kwamen de malware op het spoor en ontdekten dat MacSync zich verstopte in deze goedgekeurde app. Daardoor kon de malware vrijelijk worden geïnstalleerd, zonder dat gebruikers ook maar één waarschuwing zagen. Geen “Deze app is van een onbekende ontwikkelaar” of “Weet je zeker dat je dit wilt openen?” – gewoon installeren en klaar.
Niet nieuw, maar wel gevaarlijker
MacSync is op zich geen nieuwe malware. Volgens beveiligingsonderzoekers is het al sinds april actief, toen nog onder de naam Mac.C. Maar eerdere versies vereisten meer werk van de gebruiker. Denk aan het handmatig uitvoeren van commando’s in de macOS-terminal, of het slachtoffer worden van een zogenoemde ClickFix-aanval, waarbij gebruikers worden misleid om bepaalde handelingen uit te voeren, zoals het installeren van een app.
Die drempels zijn nu verdwenen. Door zich te verstoppen in een digitaal ondertekende en goedgekeurde app, is MacSync veel eenvoudiger te verspreiden. Gebruikers hoeven niet meer overtuigd te worden om beveiligingswaarschuwingen te negeren – die verschijnen simpelweg niet. Dat maakt deze variant gevaarlijker dan zijn voorgangers.
Wat steelt MacSync precies?
MacSync is een zogenoemde infostealer: malware die specifiek is ontworpen om gevoelige gegevens te stelen. Eerdere analyses van beveiligingsbedrijf MacPaw MoonLock tonen aan dat de malware het gemunt heeft op een breed scala aan data:
- iCloud Keychain-inloggegevens: alle wachtwoorden die je opslaat in Apple’s wachtwoordbeheerder
- Browser-logins: opgeslagen wachtwoorden in Safari, Chrome, Firefox en andere browsers
- Lokale bestanden: documenten, foto’s, en andere gevoelige data op je harde schijf
- Cryptoportemonnees: bestanden van lokale wallets, die toegang geven tot cryptocurrency
Met andere woorden: als MacSync eenmaal op je systeem staat, kan het toegang krijgen tot vrijwel alles wat waardevol is. Aanvallers kunnen e-mailaccounts overnemen, bankrekeningen plunderen, of je cryptocurrency stelen. En eenmaal binnen in één account kunnen ze vaak ook toegang krijgen tot andere accounts via wachtwoordherstel-opties of verbonden diensten.
Tweetrapsauthenticatie: je laatste verdedigingslinie
Dit incident onderstreept opnieuw waarom tweetrapsauthenticatie (2FA) cruciaal is. Zelfs als een aanvaller je wachtwoord steelt, kan hij zonder die tweede verificatiestap – een code via je telefoon, een authenticatie-app of een hardware-key – niet inloggen. Het is niet perfect, maar het verhoogt de drempel aanzienlijk.
Het probleem is: veel mensen gebruiken nog steeds geen 2FA. Het voelt als gedoe, een extra stap, iets wat vooral andere mensen nodig hebben. Maar zonder die extra laag zijn wachtwoorden op zichzelf onvoldoende bescherming. MacSync bewijst dat maar weer eens.
Apple trekt certificaat in, maar de schade is geleden
Inmiddels heeft Apple het certificaat dat werd gebruikt om de malware te ondertekenen, ingetrokken. Dat betekent dat nieuwe versies van de MacSync-malware niet langer als “legitieme” app kunnen worden verspreid. De app zal nu wel tegengehouden worden door Gatekeeper, zoals de bedoeling is.
Maar dat lost het probleem niet volledig op. Hoeveel systemen al besmet zijn, is onbekend. De malware is al sinds april actief, wat betekent dat er maanden zijn geweest waarin gebruikers kwetsbaar waren. En eenmaal geïnstalleerde malware wordt niet automatisch verwijderd door het intrekken van een certificaat – dat moet handmatig gebeuren, of via anti-malwaresoftware.
Bovendien is dit niet de eerste keer dat malware erin slaagt om een geldig Apple-certificaat te bemachtigen. En het zal ook niet de laatste keer zijn. Criminelen kunnen gestolen of vervalste certificaten gebruiken, of – zoals waarschijnlijk hier het geval was – een legitiem ontwikkelaarsaccount misbruiken. Apple kan achteraf reageren door certificaten in te trekken, maar dat is dweilen met de kraan open.
Hoe kon dit gebeuren?
De grote vraag is: hoe wist MacSync door Apple’s goedkeuringsproces te komen? Apple’s systemen zouden automatisch apps scannen op kwaadaardig gedrag. In theorie zou MacSync daarbij moeten zijn opgemerkt. Maar kennelijk niet.
Mogelijk gebruikte de malware obfuscatie-technieken om zijn ware aard te verbergen. Of misschien activeert de schadelijke code pas na installatie, waardoor hij tijdens Apple’s scan onschuldig lijkt. Het is ook denkbaar dat Apple’s automatische scans simpelweg niet goed genoeg zijn – te veel apps, te weinig diepgaande controle.
Wat de reden ook is, het resultaat blijft hetzelfde: een kwaadaardige app kreeg een groen licht van Apple, en gebruikers betalen de prijs.
Wat kunnen gebruikers doen?
Als je de bewuste app hebt gedownload – of als je niet zeker weet of je besmet bent – zijn er een paar stappen die je kunt nemen:
- Check je geïnstalleerde apps: ga naar Systeeminstellingen > Algemeen > Opslag en kijk of er verdachte apps tussen staan. Zoek vooral naar iets met “zk-call” of onbekende messenger-apps.
- Draai een malwarescan: gebruik tools zoals Malwarebytes for Mac, CleanMyMac X of andere gerenommeerde anti-malwaresoftware.
- Wijzig je wachtwoorden: als je vermoedt dat je systeem is gecompromitteerd, wijzig dan al je belangrijke wachtwoorden vanaf een ander, schoon apparaat.
- Schakel 2FA in: voor al je belangrijke accounts – e-mail, banking, sociale media, crypto-exchanges.
- Monitor je accounts: houd je bankrekeningen, creditcards en crypto-wallets in de gaten voor verdachte activiteit.
De mythe van de “veilige Mac”
Dit incident herinnert ons eraan dat geen enkel besturingssysteem onfeilbaar is. macOS heeft inderdaad voordelen op het gebied van beveiliging, maar die zijn niet absoluut. Criminelen blijven nieuwe manieren vinden om verdedigingen te omzeilen, en Apple kan niet altijd snel genoeg reageren.
Voor Mac-gebruikers is de boodschap duidelijk: vertrouw niet blind op Apple’s beveiligingslagen. Wees voorzichtig met wat je downloadt, zelfs als het er legitiem uitziet. Gebruik 2FA. Houd je systeem up-to-date. En besef dat “veiliger” niet hetzelfde is als “veilig”.
De MacSync-malware heeft laten zien dat zelfs digitaal ondertekende, door Apple goedgekeurde apps een bedreiging kunnen zijn. Dat is een wake-upcall die niemand mag negeren.
