文章总结： MacSync信息窃取程序最新版以代码签名并公证的Swift应用伪装成zk-call-messenger-installer磁盘映像，通过官网分发，绕过macOSGatekeeper；其DMG被膨胀至25.5MB并含诱饵PDF，执行前联网检测沙盒、脚本自毁，窃iCloud钥匙串、浏览器密码、加密钱包等，证书已遭苹果撤销。 综合评分： 82 文章分类： 恶意软件,漏洞分析,威胁情报,终端安全

新型 MacSync 恶意软件投放器可绕过 macOS Gatekeeper 检查

Rhinoer

犀牛安全

2026年1月6日 00:00 北京

针对 macOS 系统的 MacSync 信息窃取程序的最新版本是通过经过数字签名和公证的 Swift 应用程序传播的。

苹果设备管理平台 Jamf 的安全研究人员表示，这种分发方法相比过去使用不太复杂的“拖到终端”或 ClickFix 策略的版本有了显著的改进。

研究人员在今天的一份报告中表示：“该软件以代码签名和公证的 Swift 应用程序的形式，包含在名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘映像中，可通过 https://zkcall.net/download 分发，无需任何直接的终端交互。”

Jamf 在分析时表示，最新的 MacSync 变种具有有效的签名，可以绕过 macOS 安全系统 Gatekeeper 的检查。

Jamf解释说： “在检查了Mach-O二进制文件（这是一个通用版本）后，我们确认它既经过代码签名又经过公证。签名与开发者团队ID GNJLS3UYZ4相关联。 ”

然而，在向苹果公司直接举报该证书后，该证书已被撤销。

该恶意软件通过投放器以编码形式传播到系统中。研究人员解码有效载荷后，发现了 MacSync 窃取程序的常见特征。

研究人员指出，该窃取程序具有多种规避机制，包括通过嵌入诱饵 PDF 将 DMG 文件膨胀到 25.5MB，擦除执行链中使用的脚本，以及在执行之前执行互联网连接检查以规避沙盒环境。

这款窃取程序于 2025 年 4 月以 Mac.C 的名义出现，由名为“Mentalpositive”的攻击者开发。到 7 月，它 开始流行起来，与AMOS 和Odyssey一起加入了竞争不那么激烈但仍然有利可图的 macOS 窃取程序领域。

MacPaw Moonlock之前对 Mac.C 的分析 表明，它可以窃取 iCloud 钥匙串凭据、存储在 Web 浏览器上的密码、系统元数据、加密货币钱包数据以及文件系统中的文件。

有趣的是，在Mentalpositive 于 9 月份接受研究员 g0njxa 的采访时，恶意软件作者表示，macOS 10.14.5 及更高版本中引入的更严格的应用程序公证策略对其开发计划产生了最大的影响，这反映在最近在野外捕获的版本中。

信息来源 ：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《新型 MacSync 恶意软件投放器可绕过 macOS Gatekeeper 检查》