针对macOS用户的信息窃取恶意软件在活跃攻击中窃取敏感数据

在Windows中心威胁主导的世界中，macOS信息窃取器正成为一种强大且被低估的数据外泄方法。它们充当勒索软件部署和重大漏洞的前兆。

这些恶意软件变体通常通过恶意软件即服务（MaaS）模型分发，精心收集敏感主机数据，包括已安装的应用程序、浏览器存储的凭据、会话cookie和自动填充详细信息。这些被窃取的信息经常作为初始访问经纪人的商品，促进更深的网络入侵或转售给勒索软件附属机构。

macOS目标信息窃取器的快速发展

Flashpoint情报团队（包括副总裁Keisha Hoyt和高级狩猎分析师Paul Daubman）的最新分析揭示了一个新兴的生态系统，其中像Atomic Stealer这样的菌株因其频繁更新和MaaS可访问性而占主导地位。密切相关的是Poseidon Stealer，它在源代码销售后持续存在，利用了Atomic前开发者的开发血统。其他值得注意的包括Cthulu Stealer（另一个经常在活动中捆绑的MaaS主打产品）和Banshee Stealer（一个增加威胁多样性的独立项目）。

这些信息窃取器采用战术复杂性，利用AppleScript制作欺骗性用户提示，模仿合法的系统交互，从而规避用户怀疑。数据收集依赖于系统分析器命令来枚举硬件和软件详细信息，然后压缩外泄的有效负载并通过HTTP协议传输到命令和控制（C2）服务器。

尽管不如Windows对应物成熟，但这些macOS变体表现出加速的技术成熟，包含了混淆层，如十六进制编码、Base32和自定义Base64字母表。这种扩散标志着一个转变：macOS不再是外围目标，需要提升安全态势以应对这种不断演变的威胁。

通过逆向工程进行主动防御

打击这些威胁需要先进的逆向工程技术，将恶意软件二进制文件反编译为伪代码以暴露操作机制、规避战术和进化模式。这种剖析揭示了关键的妥协指标（IOC），包括C2端点、通用唯一标识符（UUID）、相关用户名和构建ID，使安全团队能够映射攻击者基础设施并预先阻止活动。

根据报告，Flashpoint的自动提取器通过处理数百个样本展示了有效性，如他们在最近的网络研讨会中所展示的，分析师从简单的编码形式到高度混淆的迭代剖析了Poseidon的变体，为自定义检测规则提供了可行的见解。

与此相辅相成的是Flashpoint强大的日志解析和丰富管道，它从超过30个信息窃取器家族摄取数据，监控大约150万个唯一受感染主机，并每月捕获约3亿个凭据集，其中5000万个唯一和600万个新条目。这个过程应对了不一致的日志格式、威胁行为者的重新命名和技术差异等挑战，以提供丰富的数据集。

建议组织将这些与特定领域的监控集成，以精确定位非法市场中的暴露，同时对受损域实施主动警报，以阻止信息窃取器升级为完全漏洞。

通过将丰富的情报与自动防御融合，防御者获得了战略优势，将原始遥测转化为实时缓解措施，在数据盗窃升级为不可逆转的损害之前阻止它。随着macOS信息窃取器获得关注，这种多方面的方法对于防范这种阴险的威胁向量至关重要。

保持每日网络安全新闻更新。在Google新闻、LinkedIn和X上关注我们。