文章总结： JamfThreatLabs发现MacSync新变种伪装成经苹果公证的Swift应用，凭窃取的开发者证书绕过Gatekeeper，模仿zk-Call诱导安装，25.5MB体积集成后门、浏览器与钱包数据窃取模块，C2为FocusGroovy[.]com，建议用户警惕非可信签名应用。 综合评分： 88 文章分类： 恶意软件,漏洞分析,威胁情报,终端安全,数据泄露

新的 MacSync 窃取者利用已签署的 macOS 应用来规避守门员并窃取数据

原创

O安全研究员

O安全研究员

2026年1月10日 19:56 广东

网络安全研究人员发现了MacSync恶意软件的一种新变种，针对macOS用户。

与之前依赖复杂ClickFix技术的版本不同，这一版本伪装成一个合法签署、经过公证的苹果应用程序，从而绕过macOS Gatekeeper的安全防护，窃取了敏感数据。

代码签名恶意软件绕过安全

Jamf Threat Labs 最近发现了这个进化版的 MacSync 窃取器，其中包含两项重大技术变更。

该恶意软件现以代码签名和公证的Swift应用程序形式出现，Swift是苹果官方macOS开发的编程语言。

这种巧妙的伪装帮助恶意软件通过伪装成经过验证开发者的可信应用来规避检测。

网络犯罪分子通过盗窃、购买被盗的开发者账户，或使用虚假身份建立假开发者公司来获得合法开发者证书。

通过利用这些证书，MacSync避免了触发macOS关于“未识别开发者”的安全警告，这些警告通常会提醒用户潜在威胁。

新版本模仿在线消息平台，特别针对像 zk-Call 这样爱沙尼亚的呼叫和即告服务感兴趣的用户。

这种社会工程手法增加了受害者在无疑情况下安装恶意软件的可能性。

这个 MacSync 版本与前作有显著不同。早期变体较轻，直接在内存中运行模块化有效载荷，且磁盘占地较大。

不过，Jamf研究人员指出该版本拥有25.5MB的巨大磁盘映像，显示出功能增强和嵌入式组件。

MacSync 对被感染的系统构成严重威胁。该恶意软件可以安装后门进行远程系统控制，窃取存储的数据和浏览器信息，针对加密货币钱包凭证，并持续保持隐藏访问。

Jamf认定了FocusGroovy[.]com作为一个命令与控制服务器，过去用于获取额外的有效载荷，网页浏览器现在会将该网站标记为疑似钓鱼活动，正如Moonlock报道的那样。

虽然具体传播方式尚不清楚，但潜在的感染途径包括恶意广告活动、社交媒体利用、搜索引擎控以及定向鱼叉式钓鱼攻击。

Mac用户应保持警惕，避免从不可信来源下载应用，即使这些应用看起来是合法签名的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员《新的 MacSync 窃取者利用已签署的 macOS 应用来规避守门员并窃取数据》