Jamf Threat Labs 发布的最新研究报告指出，活跃度持续攀升的 MacSync Stealer 窃密木马最近完成了一次关键性升级。它不再依赖需要用户操作失误的传统感染方式，而是转向了隐藏在合法外观应用中的自动化感染流程。

苹果的安全协议与恶意软件开发者之间的攻防对抗，已进入一个更为隐蔽的新阶段。根据 Jamf Threat Labs 的监测，日益猖獗的 MacSync Stealer 近期完成了重大设计升级，摒弃了以往依赖用户手动操作失误的传统感染手法，转而采用藏身于合法外壳应用内部的自动化感染流程。

从人工诱骗到自动化攻击

过去几个月里，MacSync Stealer 的变种一直采用“点击修复”策略或“拖拽至终端”指令——这些方法都需要受害者亲手粘贴命令或移动文件才能完成感染。而新变种被发现隐藏在名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘映像中，通过仿冒合法应用进行分发。报告强调：“作为一个经过代码签名和苹果公证书核验的 Swift 应用分发的样本，它彻底消除了任何需要终端直接交互的步骤。”

安装说明 | 图片来源：Jamf Threat Labs

巧妙绕过Gatekeeper的精妙设计

这款恶意应用不再要求用户运行脚本，而是自主完成复杂操作。“投放器从远程服务器获取经过编码的脚本，并通过 Swift 构建的辅助可执行文件来运行”。最令人担忧的是，攻击者成功绕过了 macOS Gatekeeper 防护机制——该恶意应用不仅经过了代码签名，还获得了苹果公证书认证，而公证书流程本应确保软件不包含已知恶意代码。

研究人员指出：“经检查确认，这个通用构建的 Mach-O 二进制文件同时具备代码签名和公证书认证。”签名关联的开发团队 ID 为 GNJLS3UYZ4。通过获取有效的数字签名，恶意软件获得了合法性伪装，可在 macOS 上运行而不触发即时安全警告。Jamf 已向苹果报告该 ID，相关证书现已被撤销。

反检测机制层层设防

恶意软件开发者为规避安全研究人员和自动化沙箱检测煞费苦心。应用程序执行“预检”确认存在有效网络连接后才运行恶意逻辑，还采用速率限制机制——检查时间戳文件，若过去一小时（3600秒）内已执行过则停止运行。“这种与网络可用性直接绑定的条件执行逻辑，反映出其规避离线或沙箱环境的意图。”

满足条件后，恶意软件会将有效载荷下载至 /tmp/runner，验证其为 shell 脚本后剥离苹果“隔离”属性并执行。虽然有效载荷仍连接 focusgroovy[.]com 等已知恶意域名（与先前 MacSync 攻击活动关联），但分发方式已实现技术跃升。

行业威胁态势升级

报告警告称：“这种分发方式的转变反映了 macOS 恶意软件领域的广泛趋势——攻击者日益尝试将恶意软件潜入驻经签名和公证书的可执行文件，使其更接近合法应用形态。”该事件再次提醒人们，“经过验证”的应用未必安全。正如报告结论所言：“通过利用这些技术，攻击者降低了早期被检测到的几率。”