蘋果設備管理與安全公司Mosyle近日披露了一款名為“ModStealer”的跨平臺惡意軟件,其自一個月前現身VirusTotal平臺以來,成功避開了所有主流殺毒引擎的檢測。這款惡意軟件不僅對macOS系統構成威脅,還能在Windows和Linux環境下運行,展現出極強的跨平臺攻擊能力。
研究人員指出,ModStealer的核心目標是竊取用戶數據,尤其是加密貨幣錢包、賬號憑證、配置文件和證書等敏感信息。該惡意軟件內置了針對56種瀏覽器錢包擴展的攻擊代碼,包括Safari瀏覽器,能夠直接獲取私鑰和賬戶信息。其攻擊手段高度隱蔽,通過偽造招聘開發者的廣告誘導目標下載惡意文件,攻擊載荷采用經過混淆的Java文件(基于NodeJS),可繞過基于特征碼的傳統防御工具。
除了數據竊取功能外,ModStealer還具備截取剪貼板和屏幕的能力,并支持遠程代碼執行。這一功能尤為危險,可能使攻擊者完全控制被感染設備。在macOS系統中,該惡意軟件利用蘋果的launchctl工具,將自己植入為LaunchAgent,實現長期隱蔽駐留,進一步增加了檢測和清除的難度。
Mosyle的調查顯示,竊取數據的服務器位于芬蘭,但相關基礎設施與德國存在關聯,疑似用于掩蓋攻擊者的真實位置。這種跨國布局使得追蹤和打擊攻擊者變得更加復雜。
結合ModStealer的功能特征和傳播方式,Mosyle認為其符合“惡意軟件即服務”模式。在這種模式下,惡意程序開發者將程序打包出售給無技術背景的“加盟者”,后者可根據需要定制攻擊目標,從而擴大了攻擊范圍和影響力。
此前,Jamf公司曾報告稱,信息竊取類惡意軟件的數量在2025年激增至28%,成為Mac惡意軟件家族中的主要類型。ModStealer的出現無疑加劇了這一趨勢,其跨平臺特性和隱蔽性使得更多企業和個人面臨安全風險。
