文章总结： 近期针对macOS的DigitStealer木马活动激增，主要攻击AppleM2设备。该木马伪装成合法应用传播，窃取加密货币钱包及钥匙串数据，并通过LaunchAgent实现持久化。其非MaaS模式，基础设施集中，采用加密质询响应机制规避检测，暴露了关键基础设施弱点，建议用户警惕伪装软件并监控特定C2特征。 综合评分： 82 文章分类： 恶意软件,威胁情报,逆向分析

macOS木马DigitStealer活动激增，暴露关键基础设施弱点

FreeBuf

2026年2月18日 18:02 福建

近期，针对macOS系统的复杂信息窃取木马DigitStealer活动激增，引发网络安全界高度关注。这款2025年末首次出现的恶意软件专门针对Apple M2设备，与普通威胁有明显区别。

该木马主要通过窃取敏感用户数据实施攻击，包括18种加密货币钱包信息、浏览器数据以及macOS钥匙串条目。与多数现代信息窃取木马不同，DigitStealer不属于恶意软件即服务（MaaS）生态，其缺乏关联方使用的网络面板，表明其可能由私人或小型专属团队运营。

#

Part01

感染机制分析

主要感染途径是通过伪装成合法应用（如生产力工具”DynamicLake”）进行传播。用户安装被篡改的软件后，木马会启动多阶段感染流程：通过创建Launch Agent实现持久化驻留，确保恶意代码自动运行。

这种后门功能使攻击者能维持长期访问，每10秒轮询一次C2服务器，获取新的AppleScript或JavaScript有效载荷以执行不同恶意功能。

Cyber and Ramen分析团队发现，该木马的基础设施缺乏多样性，表明其采用集中化运营模式。调查显示，其命令服务器集中在特定托管网络，通常通过Tucows等提供商注册域名，并使用Njalla的域名服务器。这种操作安全缺陷为研究人员提供了追踪威胁的重要指标。

Part02

规避检测与通信策略

深入分析DigitStealer技术行为发现，其采用复杂机制规避检测与分析：

• 通过四个特定API端点（/api/credentials、/api/grabber、/api/poll和/api/log）与C2服务器通信，处理凭证窃取和文件上传等任务
• 采用加密质询-响应系统阻止安全研究人员探测：服务器发送唯一”质询”字符串和复杂度等级，客户端需通过哈希运算匹配特定模式才能获得有效会话令牌
• 将系统硬件UUID经MD5哈希处理后发送至C2服务器，形成可识别的数字指纹

这种反分析特性确保自动化扫描工具难以与命令服务器交互，同时为防御者提供了可主动监控分析的识别特征。

参考来源：

DigitStealer Gains Attention as macOS-Targeting Infostealer Exposes Key Infrastructure Weaknesses

DigitStealer Gains Attention as macOS-Targeting Infostealer Exposes Key Infrastructure Weaknesses

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《macOS木马DigitStealer活动激增，暴露关键基础设施弱点》