继上月警告提防隐藏在虚假 PDF 转换器网站中的无法检测的 Mac 恶意软件后,苹果设备管理与安全领域的领导者 Mosyle 近日又发现了一种新的信息窃取程序。该恶意软件被命名为 ModStealer,自近一个月前首次出现在 VirusTotal 以来,一直未被所有主流杀毒引擎发现。
Mosyle 向我们独家透露的细节显示,ModStealer 不仅针对 macOS 系统,而且是跨平台的,并且专为一件事而构建:窃取数据。
根据 Mosyle 的分析,ModStealer 通过针对开发者的恶意招聘广告传播给受害者。它使用通过 NodeJS 编写的、经过高度混淆的 JavaScript 文件,基于特征码的防御完全无法检测。而且它不仅针对 Mac 用户;Windows 和 Linux 环境也同样面临风险。
该恶意软件的主要目的是数据窃取,尤其关注加密货币钱包、凭证文件、配置详细信息和证书。Mosyle 发现了预置的代码,针对 56 种不同的浏览器钱包扩展程序(包括 Safari),旨在提取私钥和敏感账户信息。
该公司的研究人员还发现,ModStealer 能够进行剪贴板捕获、屏幕截图和远程代码执行。前两者已经很糟糕,但后者几乎可以让攻击者完全控制受感染的设备。
这一发现之所以如此令人担忧,是因为 ModStealer 的隐蔽操作方式。
在 macOS 上,该恶意软件通过滥用苹果自家的 launchctl 工具,将自身嵌入为 LaunchAgent,从而实现持久化(即在受害者的 Mac 上长期存在且不被发现)。此后,它会悄悄监控活动并将敏感信息外传到远程服务器。Mosyle 研究人员表示,托管被盗数据的服务器似乎位于芬兰,但与德国的基础设施有关联,这很可能是为了掩盖操作者的真实位置。
Mosyle 认为 ModStealer 符合恶意软件即服务 (MaaS) 的特征。在这种模式下,恶意软件开发者创建恶意软件包并将其出售给技术技能有限的附属机构。附属机构获得现成的恶意软件,可以将其导向任何他们想要的目标。
这类商业模式在网络犯罪团伙中越来越流行,尤其是在传播像 ModStealer 这样的信息窃取程序方面。今年早些时候,Jamf 报告称信息窃取恶意软件激增了 28%,使其成为 2025 年主要的 Mac 恶意软件家族类型。
Mosyle 警告说:“对于安全专业人士、开发人员和最终用户而言,这都是一个严峻的提醒,仅靠基于特征码的保护是远远不够的。持续监控、基于行为的防御以及对新威胁的警惕对于保持领先于对手至关重要。”
威胁指标 (IoC):
- SHA256 哈希值: 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84
- 文件名: .sysupdater[.]dat
- C2 服务器 IP 地址: 95.217.121[.]184
