文章总结： Jamf报告指出MacSyncStealer木马完成升级，新变种通过代码签名和公证绕过Gatekeeper，利用仿冒应用实现自动化感染。该木马具备网络检查与速率限制等反沙箱技术，下载并执行恶意脚本。攻击者正趋向利用签名伪装合法应用以规避检测，降低早期被发现风险。 综合评分： 84 文章分类： 恶意软件,漏洞分析,威胁情报,终端安全

认证噩梦：新型MacSync窃密木马绕过Gatekeeper劫持Mac设备

FreeBuf

2025年12月25日 18:31 上海

苹果安全协议与恶意软件开发者之间的攻防战已进入更隐蔽的新阶段。Jamf Threat Labs最新报告显示，日益活跃的MacSync Stealer窃密木马近期完成重大设计升级，摒弃依赖用户操作失误的传统感染方式，转而采用隐藏在合法外观应用中的自动化感染流程。

Part01

从人工诱导到自动化攻击

过去数月间，MacSync Stealer变种一直采用”点击修复”策略或”拖拽至终端”指令——这些方法需要受害者手动粘贴命令或移动文件才能完成感染。新变种被发现隐藏在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘映像中，通过仿冒网站进行分发。报告指出：”作为经过代码签名和苹果公证的Swift应用分发…它消除了任何直接终端交互的需求。”

Part02

绕过Gatekeeper的精密设计

该恶意应用不再要求用户运行脚本，而是自主完成复杂操作。”投放器从远程服务器获取编码脚本，并通过Swift构建的辅助可执行文件运行”。最令人担忧的是攻击者成功绕过了macOS Gatekeeper防护机制——该恶意应用不仅经过代码签名，还获得了苹果公证认证，而公证流程本应确保软件不含已知恶意代码。

研究人员指出：”经检查确认，这个通用构建的Mach-O二进制文件同时具备代码签名和公证认证。”签名关联的开发团队ID为GNJLS3UYZ4。通过获取有效数字签名，恶意软件获得了合法性伪装，可在macOS上运行而不触发即时安全警告。Jamf已向苹果报告该ID，相关证书现已被撤销。

Part03

反检测机制层层设防

恶意软件开发者为规避安全研究人员和自动化沙箱检测煞费苦心。应用程序执行”预检”确认存在有效网络连接后才运行恶意逻辑，还采用速率限制机制——检查时间戳文件，若过去一小时（3600秒）内已执行过则停止运行。”这种与网络可用性直接绑定的条件执行逻辑，反映出其规避离线或沙箱环境的意图。”

满足条件后，恶意软件会将有效载荷下载至/tmp/runner，验证其为shell脚本后剥离苹果”隔离”属性并执行。虽然有效载荷仍连接focusgroovy[.]com等已知恶意域名（与先前MacSync攻击活动关联），但分发方式已实现技术跃升。

Part04

行业威胁态势升级

报告警告称：”这种分发方式的转变反映了macOS恶意软件领域的广泛趋势——攻击者日益尝试将恶意软件潜入经过签名和公证的可执行文件，使其更接近合法应用形态。”该事件再次提醒”经过验证”的应用未必安全。正如报告结论所言：”通过利用这些技术，攻击者降低了早期被检测到的几率。”

参考来源：

The Notarized Nightmare: New MacSync Stealer Bypasses Gatekeeper to Hijack Mac Devices

The Notarized Nightmare: New MacSync Stealer Bypasses Gatekeeper to Hijack Mac Devices

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《认证噩梦：新型MacSync窃密木马绕过Gatekeeper劫持Mac设备》