IT之家 9 月 12 日消息,科技媒体 9to5Mac 昨日(9 月 11 日)发布博文����,报道称苹果设备管理与安全公司 Mosyle 最新披露名为“ModStealer”的跨平台信息窃取恶意软件���,自一个月前出现在 VirusTotal 以来,未被任何主流杀毒引擎发现�����。
ModStealer 不仅针对 macOS�,还能在 Windows 和 Linux 系统运行,其核心目的是窃取数据�����,尤其是加密货币钱包、账号凭证����、配置文件和证书。研究人员发现�����,该恶意软件内置针对 56 种浏览器钱包扩展(包括 Safari)的代码��,可直接获取私钥和敏感账户信息���。
据分析,ModStealer 通过伪造招聘开发者的广告诱导目标下载恶意文件����,攻击载荷是经过高度混淆的 JavaScript 文件(基于 NodeJS),能绕过所有基于特征码的防御工具�。这种跨平台特性意味着更多企业与个人可能受影响,威胁范围远超 Mac 用户�。
除数据窃取外,ModStealer 还能截取剪贴板和屏幕�����,并执行远程代码。其中远程代码执行功能尤其危险����,可能让攻击者几乎完全控制被感染设备。在 macOS 上����,它利用苹果的 launchctl 工具,将自己植入为 LaunchAgent��,实现长期隐蔽驻留����。
Mosyle 的调查还追踪到窃取数据的服务器位于芬兰,但相关基础设施与德国有关���,疑似用于掩盖攻击者真实位置��。
结合功能特征与传播方式���,Mosyle 认为 ModStealer 符合“恶意软件即服务”模式,即开发者将恶意程序打包出售给无技术背景的“加盟者”�����,后者可自行定制攻击目标。
IT之家援引博文介绍�,Jamf 今年早些时候报告称信息窃取恶意软件数量激增至 28%,使其成为 2025 年 Mac 恶意软件家族中的主要类型���。
