أُعيدت تسمية أداة سرقة المعلومات المخصصة لنظام macOS المعروفة سابقاً باسم Mac.c Stealer إلى MacSync، مع الحفاظ على نفس نموذج البرمجيات كخدمة (MaaS). قال فاعلو التهديد في مقابلة مع الباحث الأمني g0njxa إن المشروع القديم كان معرضاً للزوال بسبب نقص الوقت والتمويل، فتم شراؤه وإعادة تطويره مع عدم التوقف عند صعوبات الماضي. وأكدوا أن MacSync Stealer “أداة موثوقة ذات وظائف واسعة تركز على البساطة والفعالية ويمكن استخدامها فور الشراء”.
توسّع وظيفي — عميل مبني بلغة Go كقناة رجعية
أوضحت مختبرات MacPaw Moonlock أن MacSync يتضمن عميلاً كاملاً مكتوباً بلغة Go يعمل كقناة رجعية (backdoor)، ما يوسّع من قدرات الأداة إلى ما يتجاوز مجرد سرقة البيانات. وتعد هذه الخطوة من بين أولى الحالات المعروفة لسرّاق على نظام macOS يمتلك إمكانيات معيارية للتحكم عن بُعد، مما يرفع مستوى التهديد ويعقّد كشف وتحليل العيّنات.
مقارنة تقنية مع AMOS — نهج أهدأ للاتصالات الخارجية
ذكرت التقارير أن مشروعاً آخر باسم AMOS خضع لتحديث في يوليو 2025 وأضاف قناته الرجعية الخاصة به، ويعتمد مكوّناته على لغة C وأدوات مثل curl للاتصال بخوادم التحكم. في مقابل ذلك، يتبنى MacSync نهجاً أكثر تخفياً في الاتصالات باستخدام مكتبة net/http الأصلية في Go لإجراء طلبات HTTPS، ما يسهم في تمويه حركة الاتصال ومرورها كسلوك تشاوري شرعي على الشبكة.
الانتشار والضحايا الجغرافيون
رُصدت إصابات MacSync في مناطق أوروبا وأمريكا الشمالية، مع أعلى نشاطٍ مرصود من بلدانٍ مثل أوكرانيا والولايات المتحدة وألمانيا والمملكة المتحدة، ما يشير إلى نطاق استهداف يمتد عبر قارتين ويستهدف مستخدمي macOS في بيئات متنوعة.
