网络安全领域再响警报。
据国际权威科技媒体披露,一款名为MacSync的恶意软件近期完成技术升级,其最新变种通过高度伪装手段突破苹果操作系统防线,对用户数据安全构成严重威胁。
问题显现: 此次发现的恶意程序以"zk-call-messenger-installer-3.9.2-lts.dmg"为伪装载体,其特殊性在于同时具备有效的代码签名和公证标识。
安全专家指出,该软件利用合法开发者团队ID(GNJLS3UYZ4)通过系统验证,使得用户在安装过程中不会收到常规安全警告,这种"持证作案"的方式显著提高了攻击成功率。
技术剖析: Jamf安全团队研究发现,该恶意软件采用三层防御突破策略:首先通过嵌入无效PDF文件将安装包体积扩大至25.5MB,规避沙箱检测;其次设置网络环境自检功能识别分析环境;最后在执行后自动清除脚本痕迹。
这些技术手段显示网络犯罪正朝着专业化、系统化方向发展。
危害评估: 作为Mac.C恶意软件家族分支,MacSync具备窃取高价值数字资产的能力。
专业分析显示,其可获取iCloud钥匙串凭证、浏览器存储密码、系统元数据及加密货币钱包文件。
该恶意软件自2025年4月现身后,已与AMOS、Odyssey等同类程序形成竞争态势,反映出地下黑产市场的活跃程度。
应对措施: 苹果公司在接到安全通报后迅速启动应急机制,目前已撤销涉事开发者证书。
这意味着采用相同签名的变种将无法再通过系统验证。
但专家提醒,犯罪团伙可能已掌握其他有效证书,类似攻击仍存在复发风险。
行业启示: 此次事件暴露出数字签名体系存在的验证漏洞。
虽然苹果的公证制度要求开发者提交程序进行审查,但恶意软件通过"先合规后篡改"的方式成功绕过监管。
这为整个行业提出新课题:如何在保持系统开放性的同时,建立更动态的安全验证机制。
安全机制的价值在于让“可信”更可验证,让“异常”更易被发现。
此次事件提示,任何单点防护都可能成为被利用的突破口,必须以证书治理、行为检测、快速响应与用户安全意识为支撑,构建覆盖软件分发、安装运行与账户凭据保护的全链条防线,才能在持续演进的威胁面前守住数字生活的底线。