一种新型 macOS 信息窃取恶意软件,被命名为 Mac.c,已成为地下恶意软件即服务 (MaaS) 生态系统中强大的竞争者。
Mac.c 由使用化名"mentalpositive"的威胁行为者公开开发,是臭名昭著的 Atomic MacOS Stealer (AMOS) 的简化衍生品,针对快速数据泄露和最小占用空间进行了优化。
该恶意软件利用原生 macOS 实用程序(例如 AppleScript 和系统 API)来执行模仿合法进程的隐秘操作,从而逃避传统的端点检测和响应 (EDR) 机制。
通过最大限度地减少对外部依赖的依赖,Mac.c 增强了其逃避能力,使其能够通过伪装成良性应用程序的木马安装程序渗透到系统中,包括 Adobe 产品等流行软件的破解程序。
macOS 信息窃取威胁现状
Moonlock Lab 在暗网论坛上追踪的 Mac.c 的发展轨迹揭示了 mentalpositive 采取的异常透明的方法,他们在几个月内公开分享了代码片段、更新和功能增强。
该策略似乎旨在培养用户群并在利基 macOS MaaS 市场中建立信誉。
主要进步包括二进制大小优化以减少静态分析期间可检测到的伪影、通过管理控制面板集成远程文件抓取器、扩展浏览器兼容性以及用于网络钓鱼 Trezor 加密货币钱包种子短语的专用模块。
此外,Mac.c 还结合动态构建生成来规避 Apple 的 XProtect 防病毒签名,确保每个实例都被唯一地混淆。
Moonlock Lab 的代码分析强调了与 AMOS 的逐字相似之处,表明可能存在代码重用或协作,但 mentalpositive 已表达了"公平商业"实践的意图,以避免与 AMOS 开发人员等老牌参与者直接冲突。
从功能上讲,Mac.c 通过网络钓鱼媒介启动其攻击链,部署主要有效载荷,然后升级到利用 AppleScript 进行凭证收集的次要阶段。
它的目标是 iCloud 钥匙串条目、Chrome、Edge、Brave 和 Yandex 浏览器存储的密码、MetaMask、Phantom 和 Binance 等扩展程序的加密货币钱包数据,以及预定义目录中的系统元数据和文件。
一种特别阴险的策略是伪造系统提示,例如模仿游戏"无辜女巫"来索取用户密码,然后将密码以纯文本形式存储以供随后的未经授权的访问。
数据泄露是通过与攻击者控制的服务器进行分阶段通信来实现的,主要集中在包括 Electrum、Exodus、Coinomi、Atomic、Monero、Wasabi 和 Ledger Live 在内的钱包中的加密货币工件。
这种强调凸显了 Mac.c 主要针对加密货币爱好者,能够在用户不知情的情况下迅速窃取 NFT 和稳定币等数字资产。
定价和市场影响
Mac.c 的订阅费用为每月 1,500 美元,另外还需支付 1,000 美元的一次性 Trezor 网络钓鱼模块费用,低于 AMOS 每月 3,000 美元的费用,使资源较少的威胁行为者能够轻松访问复杂的信息窃取程序。
Moonlock Lab在其 CleanMyMac 软件用户中检测到了 Installer.dmg 和 Installer descrakeador adobe.dmg 等文件名下的活跃样本,从而证实了Mac.c 的运行有效性。
A new, cheaper Mac stealer is quickly spreading on the dark web
虽然这些检测阻止了违规行为,但它们表明存在积极的传播活动,可能是通过恶意广告和网络钓鱼。
与 AMOS 相比,Mac.c 提供的整体功能较少,支持的钱包和扩展范围较窄,但其以速度为导向的设计和成本效率在专门从事恶意软件分发的贩运者中赢得了欢迎。
这一现象可能会扰乱 macOS 信息窃取者的等级制度,从而可能引发竞争,但 mentalpositive 向同行示好,试图建立友好关系,这表明他们正在努力共存。
Moonlock Lab 的研究结果强调,需要增强 macOS 安全工具的行为分析来应对此类规避威胁,因为依赖基于签名的检测是不够的。
对于 macOS 用户来说,警惕未经请求的下载和及时验证系统对话框仍然至关重要,特别是对于那些管理加密货币资产的用户来说。
随着暗网 MaaS 市场的发展,Mac.c 体现了开放式开发和激进定价如何加速定制恶意软件的扩散,对 Apple 生态系统中的端点安全构成越来越大的风险。