苹果已修复：MacSync窃密恶意变种通过“合法签名”绕过Mac检查

IT之家 12 月 23 日消息，科技媒体 bleepingcomputer 昨日（12 月 22 日）发布博文，报道称信息窃取恶意软件 MacSync 近期出现重大升级，其最新变种成功绕过了 macOS 的 Gatekeeper 安全检查。

Gatekeeper 是苹果电脑里的“安检员”，当用户打开一个从网上下载的软件后，它会检查这个软件有没有“身份证”（数字签名）以及是否经过了苹果官方的“体检”（公证）。如果一切正常，它才允许软件运行，否则会拦截并警告。

Jamf 安全研究人员发现，MacSync 恶意软件的最新变种采用了一种更为隐蔽的传播方式。与以往依赖“诱导用户运行终端命令”或“ClickFix”等低级战术不同，该变种被封装在一个名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘镜像中。

有效的数字签名和公证，图源：Jamf

研究人员指出，该恶意软件伪装成一个经过代码签名和公证的 Swift 应用程序，拥有合法的开发者团队 ID（GNJLS3UYZ4）。这意味着它能够欺骗 macOS 的 Gatekeeper 安全系统，让用户在安装时不会收到常规的安全警告，从而在毫无察觉的情况下感染系统。

反混淆后的有效执行代码，图源：Jamf

IT之家援引博文介绍，MacSync 为了进一步规避安全检测，植入了一系列反分析机制。首先，该恶意软件通过嵌入诱饵 PDF 文件，将 DMG 安装包的体积人为膨胀至 25.5MB，这种“文件膨胀”策略通常用于绕过某些不仅检测文件特征还限制扫描大小的自动化安全沙箱。

膨胀的磁盘镜像内容，图源：Jamf

其次，该程序在执行前会主动进行互联网连接检查，以判断自身是否运行在隔离的测试环境中。此外，一旦负载解码并执行完毕，恶意软件会自动擦除执行链中使用的脚本，以此抹除入侵痕迹，增加取证难度。

作为 Mac.C 恶意软件家族的衍生物，MacSync 的主要目标是窃取高价值用户数据。根据 MacPaw Moonlock 的分析，该窃取程序能够提取 iCloud 钥匙串凭证、浏览器存储的密码、系统元数据以及加密货币钱包文件。

该恶意软件最早于 2025 年 4 月（注：原文时间）由威胁行为者“Mentalpositive”发布，并于同年 7 月开始在网络犯罪生态系统中活跃，与 AMOS 和 Odyssey 等同类恶意软件争夺市场份额。

针对这一威胁，Jamf 研究人员在分析确认后立即向苹果进行了通报。苹果方面迅速采取行动，目前已正式撤销了被该恶意软件滥用的开发者证书，意味着该特定签名的变种将无法再通过 Gatekeeper 的验证。