BlockBeats 消息,2025-12-23,慢霧(SlowMist)首席資訊安全官 23pds 發文指出,活躍於 macOS 平台的 MacSync Stealer 惡意軟體已出現明顯演進,並已有用戶資產被盜。(m.theblockbeats.info)
研究人員發現,該樣本以名為 zk-call-messenger-installer-3.9.2-lts.dmg 的磁碟映像(DMG)傳播,會偽裝成即時通訊或工具類應用誘使用戶下載;與早期需「拖曳到終端」或 ClickFix 等手動操作不同,新版本無需使用者進行任何終端操作,而是由內建的 Swift 輔助程式從遠端伺服器拉取並執行已編碼的腳本來完成資訊竊取流程。(jamf.com)
分析顯示,該惡意程式已完成程式碼簽名並通過蘋果公證(notarized),其開發者團隊 ID 為 GNJLS3UYZ4;在分析時檢測到的相關雜湊尚未被蘋果撤銷,因而在 macOS 預設安全機制下具備較高的「可信度」,更容易繞過使用者警覺。(jamf.com)
研究人員亦指出該 DMG 體積異常偏大,內含 LibreOffice 相關 PDF 等誘餌檔案以降低懷疑;此外,一些上傳至 VirusTotal 的樣本在檢測引擎中的檢出率亦偏低。(jamf.com)
安全研究人員表示,此類信息竊取木馬常以瀏覽器資料、帳戶憑證與加密錢包資訊為主要竊取目標;隨著惡意軟體系統性濫用蘋果的簽名與公證機制,加密資產使用者在 macOS 環境下面臨的釣魚與私鑰洩露風險正在上升。文章同時建議在 Jamf for Mac 中啟用「威脅預防」與「高級威脅控制」,並將其設定為阻止模式以抵禦這類最新變種。(m.theblockbeats.info)