Jamf Threat Labs 發現一個新變種的資訊竊取程式「MacSync」,該樣本以已簽名並經 Apple 通過簽署(notarized)的 Swift 應用程式作為安裝器,能夠繞過 macOS 的 Gatekeeper 防護;Jamf 已向 Apple 回報並促請撤銷相關開發者憑證。
(jamf.com)
分發與執行:攻擊者將簽名的安裝程式打包成名為 zk-call-messenger-installer-3.9.2-lts.dmg 的磁碟映像,安裝器會檢查網路連線,從遠端取得經編碼的腳本並透過內建的 helper 執行,減少使用者需手動在 Terminal 貼指令的互動性,增加入侵成功率。
(jamf.com)
規避與隱匿手法:研究人員指出該變種會在 DMG 內放入大量誘餌檔案(如 PDF)以膨脹檔案大小、在執行前後進行網路可達性檢查並清除或抹除執行用腳本以減少殘跡,部份樣本在 VirusTotal 上的偵測率也很低。
(jamf.com)
竊取能力與影響:解碼後的負載與先前的 MacSync / Mac.C 竊取程式一致,能蒐集 iCloud 鑰匙圈(Keychain)資料、瀏覽器儲存的帳密、系統檔案以及加密貨幣錢包相關資料;相關分析顯示此類樣本已在多地被偵測,且有報導提及使用者資產受損的案例。
提醒與建議:研究與媒體建議 macOS 使用者提高警覺,僅從官方或開發者官網 / Mac App Store 下載軟體、避免使用破解或第三方不明來源、維持系統與防毒/端點防護更新,若懷疑中毒應立即斷網並求助資安專業工具或廠商查核。
來源:https://www.panewslab.com/zh/articles/55d1ae2e-8d9a-4d6b-a666-1f5c6c3677e8