新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
警惕:新型macOS窃密木马MacSync利用签名应用绕过苹果防护机制
“不同于早期主要依赖‘拖拽至终端’或‘一键修复’类技术的MacSync窃密木马变种,该样本采用了更具欺骗性、无需用户手动操作的攻击手段。”Jamf公司安全研究员泰斯・哈夫莱尔表示。
这家苹果设备管理与安全企业指出,该最新变种以经过代码签名和公证的Swift应用形式,封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中,文件托管于恶意域名zkcall[.]net/download。
由于这款应用经过签名和公证,它可以在苹果设备上运行,且不会被Gatekeeper、XProtect等系统内置安全工具拦截或标记。即便如此,研究人员发现该安装程序仍会显示引导用户右键打开应用的说明 —— 这是一种绕开系统安全防护的常用手段。目前苹果已吊销了该程序对应的代码签名证书。
这款基于Swift语言开发的释放器,在通过辅助组件下载并执行编码脚本前,会执行一系列前置检查操作,包括验证网络连接状态、设置约3600秒的最小执行间隔以限制运行频率、移除文件的隔离属性,以及在执行前对文件进行有效性验证。
“值得注意的是,该变种用于获取载荷的curl命令,与早期版本存在明显差异。” 哈夫莱尔解释道,“它没有使用常见的-fsSL参数组合,而是拆分为-fL和-sS两个参数,同时新增了--noproxy等额外选项。”“这些改动,再加上动态填充变量的使用,表明攻击者在载荷的获取与验证方式上进行了刻意调整,其目的很可能是提升攻击可靠性或规避检测。”
该攻击活动还采用了另一种规避手段:制作异常大容量的磁盘镜像文件。通过嵌入无关的PDF文档,将镜像文件的大小扩充至25.5MB。
经解析,这款经Base64编码的恶意载荷正是MacSync窃密木马,它是2025年4月首次出现的Mac.c木马的更名版本。据MacPaw公司月锁实验室分析,MacSync内置了功能完备的Go语言代理程序,其功能已不局限于简单的数据窃取,还可实现远程控制操作。
值得一提的是,研究人员还发现攻击者曾使用伪装成谷歌会议(Google Meet)、带代码签名的恶意磁盘镜像文件,传播奥德赛(Odyssey)等其他macOS窃密木马。不过就在上个月,威胁攻击者仍在通过未签名的磁盘镜像文件传播数字窃密木马(DigitStealer)。
Jamf 公司指出:“这种传播方式的转变,折射出macOS恶意软件领域的一个普遍趋势 —— 攻击者正越来越多地尝试将恶意程序植入经过签名和公证的可执行文件中,使其外观更接近合法应用。”
部分信息来源网络,如有侵权请联系删除
