新型 MacSync macOS 窃取工具利用签名应用程序绕过 Apple Gatekeeper 限制

网络安全研究人员发现了一种名为MacSync的 macOS 信息窃取程序的新变种，它通过一个经过数字签名和公证的 Swift 应用程序进行传播，该应用程序伪装成消息应用程序安装程序，以绕过 Apple 的 Gatekeeper 检查。

Jamf 研究员 Thijs Xhaflaire表示：“与之前主要依赖拖拽到终端或ClickFix式技术的 MacSync Stealer 变种不同，此样本采用了一种更具欺骗性、无需人工干预的方法。”

苹果设备管理公司和安全公司表示，最新版本以代码签名和公证的 Swift 应用程序的形式分发，包含在名为“zk-call-messenger-installer-3.9.2-lts.dmg”的磁盘映像 (DMG) 文件中，该文件托管在“zkcall[.]net/download”上。

由于该程序经过签名和公证，因此可以运行而不会被 Gatekeeper 或 XProtect 等内置安全控制措施阻止或标记。尽管如此，安装程序仍会显示提示用户右键单击并打开应用程序的说明——这是一种常见的绕过此类安全措施的手段。苹果公司随后撤销了该程序的代码签名证书。

这个基于 Swift 的下载器会先执行一系列检查，然后再通过辅助组件下载并执行编码后的脚本。这些检查包括验证网络连接、强制执行约 3600 秒的最小执行间隔以限制速率，以及移除隔离属性并在执行前验证文件。

Xhaflaire解释说：“值得注意的是，用于检索有效载荷的curl命令与之前的版本有明显的不同。它没有使用常见的-fsSL组合，而是将标志拆分为-fL和-sS，并且引入了诸如--noproxy之类的其他选项。”

“这些变化，以及动态填充变量的使用，表明有效载荷的获取和验证方式发生了有意的转变，其目的可能是为了提高可靠性或逃避检测。”

该活动中使用的另一种规避机制是使用异常大的 DMG 文件，通过嵌入不相关的 PDF 文档将其大小膨胀到 25.5 MB。

解析后的 Base64 编码有效载荷对应于MacSync ，它是Mac.c的更名版本，于 2025 年 4 月首次出现。根据 MacPaw 的 Moonlock Lab 的说法，MacSync配备了一个功能齐全的基于 Go 的代理，它不仅限于简单的数据窃取，还实现了远程命令和控制功能。

值得注意的是，在传播其他 macOS 窃取程序（例如Odyssey）的攻击中，也发现了经过代码签名的恶意 DMG 文件，这些文件模仿 Google Meet。尽管如此，威胁行为者直到上个月仍在继续使用未签名的磁盘映像来传播DigitStealer 。

Jamf 表示：“这种分发方式的转变反映了 macOS 恶意软件领域的一个更广泛趋势，攻击者越来越多地试图将恶意软件偷偷塞进经过签名和公证的可执行文件中，使之看起来更像合法的应用程序。”