IT之家 9 月 12 日消息,科技媒体 9to5Mac 昨日(9 月 11 日)发布博文,报道称苹果设备管理与安全公司 Mosyle 最新披露名为“ModStealer”的跨平台信息窃取恶意软件,自一个月前出现在 VirusTotal 以来,未被任何主流杀毒引擎发现。
ModStealer 不仅针对 macOS,还能在 Windows 和 Linux 系统运行,其核心目的是窃取数据,尤其是加密货币钱包、账号凭证、配置文件和证书。研究人员发现,该恶意软件内置针对 56 种浏览器钱包扩展(包括 Safari)的代码,可直接获取私钥和敏感账户信息。
据分析,ModStealer 通过伪造招聘开发者的广告诱导目标下载恶意文件,攻击载荷是经过高度混淆的 JavaScript 文件(基于 NodeJS),能绕过所有基于特征码的防御工具。这种跨平台特性意味着更多企业与个人可能受影响,威胁范围远超 Mac 用户。
除数据窃取外,ModStealer 还能截取剪贴板和屏幕,并执行远程代码。其中远程代码执行功能尤其危险,可能让攻击者几乎完全控制被感染设备。在 macOS 上,它利用苹果的 launchctl 工具,将自己植入为 LaunchAgent,实现长期隐蔽驻留。
Mosyle 的调查还追踪到窃取数据的服务器位于芬兰,但相关基础设施与德国有关,疑似用于掩盖攻击者真实位置。
结合功能特征与传播方式,Mosyle 认为 ModStealer 符合“恶意软件即服务”模式,即开发者将恶意程序打包出售给无技术背景的“加盟者”,后者可自行定制攻击目标。
IT之家援引博文介绍,Jamf 今年早些时候报告称信息窃取恶意软件数量激增至 28%,使其成为 2025 年 Mac 恶意软件家族中的主要类型。
