macOS 木馬升級：以簽名應用偽裝傳播，加密用戶面臨更隱蔽風險

ChainCatcher 消息，慢霧首席信息安全官 23pds 發文分享稱，活躍於 macOS 平台的 MacSync Stealer 惡意軟體已出現明顯演進，已有用戶資產被盜。

其轉發的文章提到，從早期依賴 "拖拽到終端"、"ClickFix"等低門檻誘導手法，升級為代碼簽名並通過蘋果公證（notarized）的 Swift 應用程序，顯著提升隱蔽性。研究人員發現，該樣本以名為 zk-call-messenger-installer-3.9.2-lts.dmg 的磁碟映像形式傳播，通過偽裝成即時通訊或工具類應用誘導用戶下載。與以往不同，新版本無需用戶進行任何終端操作，而是由內置的 Swift 輔助程序從遠程伺服器拉取並執行編碼腳本，完成信息竊取流程。

該惡意程序已完成代碼簽名並通過蘋果公證，開發者團隊 ID 為 GNJLS3UYZ4，相關哈希在分析時尚未被蘋果吊銷。這意味著其在默認 macOS 安全機制下具有更高的 "可信度"，更容易繞過用戶警惕。研究還發現，該 DMG 體積異常偏大，內含 LibreOffice 相關 PDF 等誘餌文件，用於進一步降低懷疑。

安全研究人員指出，此類信息竊取木馬常以瀏覽器數據、賬戶憑據、加密錢包信息為主要目標。隨著惡意軟體開始系統性濫用蘋果簽名與公證機制，加密資產用戶在 macOS 環境下面臨的釣魚與私鑰洩露風險正在上升。