新型MacSync木马绕过Gatekeeper,劫持Mac设备认证机制
Jamf Threat Labs 发布的最新研究报告指出,活跃度持续攀升的 MacSync Stealer 窃密木马最近完成了一次关键性升级。它不再依赖需要用户操作失误的传统感染方式,而是转向了隐藏在合法外观应用中的自动化感染流程。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
苹果的安全协议与恶意软件开发者之间的攻防对抗,已进入一个更为隐蔽的新阶段。根据 Jamf Threat Labs 的监测,日益猖獗的 MacSync Stealer 近期完成了重大设计升级,摒弃了以往依赖用户手动操作失误的传统感染手法,转而采用藏身于合法外壳应用内部的自动化感染流程。
从人工诱骗到自动化攻击
过去几个月里,MacSync Stealer 的变种一直采用“点击修复”策略或“拖拽至终端”指令——这些方法都需要受害者亲手粘贴命令或移动文件才能完成感染。而新变种被发现隐藏在名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘映像中,通过仿冒合法应用进行分发。报告强调:“作为一个经过代码签名和苹果公证书核验的 Swift 应用分发的样本,它彻底消除了任何需要终端直接交互的步骤。”
安装说明 | 图片来源:Jamf Threat Labs
巧妙绕过Gatekeeper的精妙设计
这款恶意应用不再要求用户运行脚本,而是自主完成复杂操作。“投放器从远程服务器获取经过编码的脚本,并通过 Swift 构建的辅助可执行文件来运行”。最令人担忧的是,攻击者成功绕过了 macOS Gatekeeper 防护机制——该恶意应用不仅经过了代码签名,还获得了苹果公证书认证,而公证书流程本应确保软件不包含已知恶意代码。
研究人员指出:“经检查确认,这个通用构建的 Mach-O 二进制文件同时具备代码签名和公证书认证。”签名关联的开发团队 ID 为 GNJLS3UYZ4。通过获取有效的数字签名,恶意软件获得了合法性伪装,可在 macOS 上运行而不触发即时安全警告。Jamf 已向苹果报告该 ID,相关证书现已被撤销。
反检测机制层层设防
恶意软件开发者为规避安全研究人员和自动化沙箱检测煞费苦心。应用程序执行“预检”确认存在有效网络连接后才运行恶意逻辑,还采用速率限制机制——检查时间戳文件,若过去一小时(3600秒)内已执行过则停止运行。“这种与网络可用性直接绑定的条件执行逻辑,反映出其规避离线或沙箱环境的意图。”
满足条件后,恶意软件会将有效载荷下载至 /tmp/runner,验证其为 shell 脚本后剥离苹果“隔离”属性并执行。虽然有效载荷仍连接 focusgroovy[.]com 等已知恶意域名(与先前 MacSync 攻击活动关联),但分发方式已实现技术跃升。
行业威胁态势升级
报告警告称:“这种分发方式的转变反映了 macOS 恶意软件领域的广泛趋势——攻击者日益尝试将恶意软件潜入驻经签名和公证书的可执行文件,使其更接近合法应用形态。”该事件再次提醒人们,“经过验证”的应用未必安全。正如报告结论所言:“通过利用这些技术,攻击者降低了早期被检测到的几率。”
相关攻略
Ubuntu 安全团队在公开发布前通过将 Ubuntu 25 10 的默认 rm 命令恢复为 GNU coreutils 缓解了风险,上游修复已应用于 uutils 代码库。 漏洞概述Ubuntu
身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。 朝鲜IT冒牌员工计划已成为跨行业重大威胁。尽管最佳实践强调招聘阶段的防范措施,但一旦这类人员入职,往往难以察觉。近期
该漏洞源于不当的访问控制机制,使得相邻网络中的未认证攻击者能够拦截敏感配置文件,并在基于网络的操作系统部署过程中执行任意代码。 微软宣布将分两个阶段禁用Windows部署服务(WDS)中的无人值守部
Google 将在 48 小时内向 Android 开源项目(AOSP)代码库发布相应源代码补丁,确保更广泛生态系统的长期平台稳定性。 Google 已发布备受期待的 2026 年 3 月 Andr
微软确认,该漏洞在现实攻击中已被作为0Day利用,并感谢微软威胁情报中心(MSTIC)、微软安全响应中心(MSRC)、Office产品组安全团队以及谷歌威胁情报小组(GTIG)的报告。 Akamai
热门专题
热门推荐
3月30日消息,今日,短视频博主“反诈老陈”抖音账号正式解封,他也发布视频宣布回归,并表示后续将继续创作反诈与打假相关内容。当天早上7点40分时,“反诈老陈”开启解封后首场直播,时长达1个多小时,累
3月30日消息,OPPO Find X9s Pro今天正式官宣,将在4月发布,预计会跟Find X9 Ultra同台登场。新机依然主打旅拍神器,拥有哈苏双2亿影像系统,分别是哈苏2亿大底超清主摄、哈
小红书网页版正式入口为https: www xiaohongshu com,支持未登录浏览、多方式登录、个性化推荐、创作者后台管理及安全多端同步。小红书网页版最新正式入口在哪里?
财联社3月20日讯(编辑 卞纯)随着AI算力需求呈指数级增长,而地面数据中心面临耗能巨大等挑战,硅谷科技巨头已纷纷将目光瞄准太空,在太空建立数据中心成为他们AI竞赛的下一个战场。当地时间周四,英伟达
在日常办公中,腾讯文档是一款非常实用的在线文档工具。它不仅支持多人协作编辑,还具备强大的函数功能,能帮助我们高效地进行数据处理和分析。下面就来详细介绍一下腾讯文档中函数的使用方法,