9to5Mac安全专栏由Mosyle独家呈现——唯一的苹果统一平台。我们专注让苹果设备即开即用且保障企业安全。通过革命性的集成管理方案,我们提供全自动设备加固合规、新一代终端防护、AI驱动的零信任架构、独家权限管理,以及全球最先进的苹果设备管理系统。目前已有超过45,000家机构信赖我们的全自动平台,零成本轻松管理数百万台苹果设备。立即申请延长试用,体验Mosyle的一站式苹果解决方案。
自2023年崭露头角以来,AMOS(原子级macOS窃密程序)已成为苹果生态最臭名昭著的信息窃取工具。这款旨在静默窃取各类敏感数据的恶意软件,已成为安全研究员、媒体甚至受害者耳熟能详的名字。
但MacPaw旗下网络安全团队Moonlock最新发现,暗网论坛正流行一款新型窃密程序。本周专栏将解析这个撼动macOS安全格局的新兴威胁。
据信来自俄罗斯的开发者”mentalpositive”及其作品Mac.c正引发关注。Moonlock在HackerNoon博客指出:”尽管仅活跃四个月,Mac.c已能与AMOS等老牌窃密程序分庭抗礼。”
该开发者罕见地采用公开透明的开发模式,甚至征集用户反馈更新版本——这在恶意软件领域实属异类。看来2025年我们真要见识”众包型恶意软件”了…
技术层面,Mac.c虽与AMOS、Rodrigo4存在代码相似性,但通过精简二进制体积实现了更快下载速度,更少静态特征残留,大幅提升分析难度。其每次更新都新增大量URL,暗示背后可能存在规模化的命令控制体系。
“这种高调作风或是为了抢占市场份额,同时为macOS定制化的窃密即服务商业模式铺路。”Moonlock分析道。
开发者甚至为购买者提供网页控制台,可生成定制版本(绕过XProtect)、监控感染数据、管理攻击活动。功能如此透明,其人性之恶却昭然若揭。
暗网论坛截图显示早期Mac.c订阅服务标价1500美元/月。来源:Moonlock。
“最新版本更新包括:全新构建绕过XProtect、支持更多浏览器、通过控制台激活文件窃取模块,以及专门针对Trezor钱包助记词的钓鱼模块。”Moonlock补充道。
macOS威胁生态演变
尽管macOS恶意软件规模仍远逊Windows,但其正成为犯罪分子的新宠。原因很简单:市场占有率。去年第四季度美国市场Mac出货量同比增长25.9%,占整体计算机市场份额达17.1%(Canalys数据)。
这吸引了众多商业野心勃勃的恶意软件开发者。尽管苹果不断加强Gatekeeper和XProtect防护,企业和个人用户受害率仍创新高。
信息窃取类恶意软件已超越广告软件成为主流,占Jamf检测到的Mac恶意软件的28.36%。其流行源于低门槛——像mentalpositive这样的开发者正运营”恶意软件即服务”生意,向技术能力有限的 affiliates 提供现成攻击工具包。
相比勒索软件动辄数月的回报周期,信息窃取能快速变现也是重要因素。
防护建议
虽然macOS预置多项安全服务,但往往力有不逮:
- 从Mac App Store外安装应用时务必谨慎
- 点击链接前确认其真实性
- 使用高强度密码+双重验证(优先选择OTP而非短信验证)
- 审慎授予系统权限
- 保持系统和应用更新
查看Moonlock在HackerNoon的完整分析报告。
