IF9.CN 消息,12 月 23 日,慢雾安全团队披露 macOS 平台 MacSync Stealer 恶意软件出现重大升级。该木马通过苹果官方代码签名认证和公证机制(notarized)实施传播,显著提升隐蔽性。
最新样本伪装成即时通讯工具(文件名:zk-call-messenger-installer-3.9.2-lts.dmg),通过诱导下载传播。与早期版本不同,新变种完全无需用户手动操作——内置 Swift 辅助程序可直接从远程服务器拉取并执行恶意脚本,实现自动化信息窃取。
技术分析显示,该 DMG 文件体积异常庞大(约 3.2GB),内嵌 LibreOffice 相关 PDF 等虚假诱饵文件,进一步降低用户警觉。值得注意的是,开发者团队 ID(GNJLS3UYZ4)当前尚未被苹果列入黑名单,意味着其签名应用可绕过 macOS 默认安全防护。
安全研究人员强调,此类木马已形成成熟攻击链:通过窃取浏览器数据、加密钱包私钥及账户凭证实现资金转移。随着恶意软件开始系统性滥用苹果代码签名机制,加密资产持有者面临双重威胁——既要防范传统钓鱼攻击,更需警惕被苹果官方认证的恶意程序。
