本站消息,慢雾首席信息安全官 23pds 发文分享称,活跃于 macOS 平台的 MacSync Stealer 恶意软件已出现明显演进,已有用户资产被盗。其转发的文章提到,从早期依赖「拖拽到终端」「ClickFix」等低门槛诱导手法,升级为代码签名并通过苹果公证(notarized)的 Swift 应用程序,显著提升隐蔽性。 研究人员发现,该样本以名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘镜像形式传播,通过伪装成即时通讯或工具类应用诱导用户下载。与以往不同,新版本无需用户进行任何终端操作,而是由内置的 Swift 辅助程序从远程服务器拉取并执行编码脚本,完成信息窃取流程。 该恶意程序已完成代码签名并通过苹果公证,开发者团队 ID 为 GNJLS3UYZ4,相关哈希在分析时尚未被苹果吊销。这意味着其在默认 macOS 安全机制下具有更高的「可信度」,更容易绕过用户警惕。研究还发现,该 DMG 体积异常偏大,内含 LibreOffice 相关 PDF 等诱饵文件,用于进一步降低怀疑。 安全研究人员指出,此类信息窃取木马常以浏览器数据、账户凭据、加密钱包信息为主要目标。随着恶意软件开始系统性滥用苹果签名与公证机制,加密资产用户在 macOS 环境下面临的钓鱼与私钥泄露风险正在上升。