macOS木马升级：以签名应用伪装传播，加密用户面临更隐蔽风险

BlockBeats 消息，12 月 23 日，慢雾首席信息安全官 23pds 发文分享称，活跃于 macOS 平台的 MacSync Stealer 恶意软件已出现明显演进，已有用户资产被盗。其转发的文章提到，从早期依赖「拖拽到终端」「ClickFix」等低门槛诱导手法，升级为代码签名并通过苹果公证（notarized）的 Swift 应用程序，显著提升隐蔽性。

研究人员发现，该样本以名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘镜像形式传播，通过伪装成即时通讯或工具类应用诱导用户下载。与以往不同，新版本无需用户进行任何终端操作，而是由内置的 Swift 辅助程序从远程服务器拉取并执行编码脚本，完成信息窃取流程。

该恶意程序已完成代码签名并通过苹果公证，开发者团队 ID 为 GNJLS3UYZ4，相关哈希在分析时尚未被苹果吊销。这意味着其在默认 macOS 安全机制下具有更高的「可信度」，更容易绕过用户警惕。研究还发现，该 DMG 体积异常偏大，内含 LibreOffice 相关 PDF 等诱饵文件，用于进一步降低怀疑。

安全研究人员指出，此类信息窃取木马常以浏览器数据、账户凭据、加密钱包信息为主要目标。随着恶意软件开始系统性滥用苹果签名与公证机制，加密资产用户在 macOS 环境下面临的钓鱼与私钥泄露风险正在上升。

强烈建议用户确保在 Jamf for Mac 中启用威胁预防和高级威胁控制，并将其设置为阻止模式，以抵御这些最新的信息窃取程序变种。