蘋(píng)果安全協(xié)議與惡意軟件開(kāi)發(fā)者之間的攻防戰(zhàn)已進(jìn)入更隱蔽的新階段。Jamf Threat Labs最新報(bào)告顯示，日益活躍的MacSync Stealer竊密木馬近期完成重大設(shè)計(jì)升級(jí)，摒棄依賴用戶操作失誤的傳統(tǒng)感染方式，轉(zhuǎn)而采用隱藏在合法外觀應(yīng)用中的自動(dòng)化感染流程。

從人工誘導(dǎo)到自動(dòng)化攻擊

過(guò)去數(shù)月間，MacSync Stealer變種一直采用"點(diǎn)擊修復(fù)"策略或"拖拽至終端"指令——這些方法需要受害者手動(dòng)粘貼命令或移動(dòng)文件才能完成感染。新變種被發(fā)現(xiàn)隱藏在名為zk-call-messenger-installer-3.9.2-lts.dmg的磁盤(pán)映像中，通過(guò)仿冒網(wǎng)站進(jìn)行分發(fā)。報(bào)告指出："作為經(jīng)過(guò)代碼簽名和蘋(píng)果公證的Swift應(yīng)用分發(fā)...它消除了任何直接終端交互的需求。"

安裝說(shuō)明 | 圖片來(lái)源：Jamf Threat Labs

繞過(guò)Gatekeeper的精密設(shè)計(jì)

該惡意應(yīng)用不再要求用戶運(yùn)行腳本，而是自主完成復(fù)雜操作。"投放器從遠(yuǎn)程服務(wù)器獲取編碼腳本，并通過(guò)Swift構(gòu)建的輔助可執(zhí)行文件運(yùn)行"。最令人擔(dān)憂的是攻擊者成功繞過(guò)了macOS Gatekeeper防護(hù)機(jī)制——該惡意應(yīng)用不僅經(jīng)過(guò)代碼簽名，還獲得了蘋(píng)果公證認(rèn)證，而公證流程本應(yīng)確保軟件不含已知惡意代碼。

研究人員指出："經(jīng)檢查確認(rèn)，這個(gè)通用構(gòu)建的Mach-O二進(jìn)制文件同時(shí)具備代碼簽名和公證認(rèn)證。"簽名關(guān)聯(lián)的開(kāi)發(fā)團(tuán)隊(duì)ID為GNJLS3UYZ4。通過(guò)獲取有效數(shù)字簽名，惡意軟件獲得了合法性偽裝，可在macOS上運(yùn)行而不觸發(fā)即時(shí)安全警告。Jamf已向蘋(píng)果報(bào)告該ID，相關(guān)證書(shū)現(xiàn)已被撤銷。

反檢測(cè)機(jī)制層層設(shè)防

惡意軟件開(kāi)發(fā)者為規(guī)避安全研究人員和自動(dòng)化沙箱檢測(cè)煞費(fèi)苦心。應(yīng)用程序執(zhí)行"預(yù)檢"確認(rèn)存在有效網(wǎng)絡(luò)連接后才運(yùn)行惡意邏輯，還采用速率限制機(jī)制——檢查時(shí)間戳文件，若過(guò)去一小時(shí)（3600秒）內(nèi)已執(zhí)行過(guò)則停止運(yùn)行。"這種與網(wǎng)絡(luò)可用性直接綁定的條件執(zhí)行邏輯，反映出其規(guī)避離線或沙箱環(huán)境的意圖。"

滿足條件后，惡意軟件會(huì)將有效載荷下載至/tmp/runner，驗(yàn)證其為shell腳本后剝離蘋(píng)果"隔離"屬性并執(zhí)行。雖然有效載荷仍連接focusgroovy[.]com等已知惡意域名（與先前MacSync攻擊活動(dòng)關(guān)聯(lián)），但分發(fā)方式已實(shí)現(xiàn)技術(shù)躍升。

行業(yè)威脅態(tài)勢(shì)升級(jí)

報(bào)告警告稱："這種分發(fā)方式的轉(zhuǎn)變反映了macOS惡意軟件領(lǐng)域的廣泛趨勢(shì)——攻擊者日益嘗試將惡意軟件潛入經(jīng)過(guò)簽名和公證的可執(zhí)行文件，使其更接近合法應(yīng)用形態(tài)。"該事件再次提醒"經(jīng)過(guò)驗(yàn)證"的應(yīng)用未必安全。正如報(bào)告結(jié)論所言："通過(guò)利用這些技術(shù)，攻擊者降低了早期被檢測(cè)到的幾率。"