對于計算機用戶來說，Apple公司的產品一直要比Windows產品更加安全一些。但隨著Apple的市場份額不斷增加，用戶基數不斷增長，針對macOS的惡意軟件威脅也變得越來越普遍和復雜。而且，有許多macOS威脅采用的感染途徑仍然不為人知，研究人員只能通過一些偶然的機會發現惡意軟件，或者在VirusTotal等惡意軟件存儲庫中發現樣本。

為了幫助企業組織更安全地應用macOS系統，本文收集整理了安全研究人員重點關注的6種典型macOS環境下惡意軟件威脅。

01BlueNoroff  RustBucket

從2022年12月開始，BlueNoroff 威脅團伙（隸屬更廣泛的Lazarus勒索軟件組織）開始使用一種名為RustBucket的macOS版惡意軟件，攻擊全球各地的目標組織。該惡意軟件的出現，標志著這個臭名昭著的惡意團伙正式開始涉足macOS領域，也表明攻擊者開始更多地使用Go語言之類軟件開發平臺研發惡意軟件。

Jamf 威脅實驗室的安全分析師首先觀察到BlueNoroff RustBucket惡意軟件在受害者系統上投放和執行各種攻擊載荷，并于今年4月首次公開披露了該惡意軟件的攻擊模式，其中第一階段組件多為被植入后門但運行完全正常的PDF閱讀器，該組件可以連接到遠程指揮和控制（C2）服務器，并安裝另外的第二階段攻擊載荷，以便從受害者系統收集特定信息將發回給攻擊者。BlueNoroff RustBucket惡意軟件的危害性不僅僅在于軟件本身，還在于其攻擊中采用了大量的社會工程伎倆。而且，這種惡意軟件威脅還同時針對Windows用戶。

02macOS版LockBit

LockBit勒索軟件組織于2019年首次被發現，由于其不斷采用新的策略、技術和支付方式，經不斷發展和演變，現已被行業認為是當前“最危險的惡意軟件威脅之一”。研究人員發現，LockBit團伙在去年11月開始攻擊macOS用戶，且能在受害者的macOS環境中造成與Windows 環境中同樣嚴重的破壞。網絡安全公司SentinelOne的研究人員表示，盡管目前還沒發現macOS版LockBit在廣泛肆虐的新聞報道，但很可能是Linux版LockBit的直接衍生體，其在macOS系統上加密和破壞數據的能力已經被實際驗證，而該惡意軟件的開發者還會不斷嘗試為其增加更多的破壞功能和選項。

03XCSSET惡意軟件

與當前大多數的macOS惡意軟件相比，XCSSET惡意軟件的歷史比較久遠，并且仍然是目前對Mac用戶最危險的威脅之一。該惡意軟件的一個顯著特點是它利用了三個獨立的零日漏洞，一個漏洞在未經用戶明確許可的情況下啟用全面訪問磁盤，第二個漏洞在未經用戶明確許可的情況下啟用屏幕錄制權限，第三個漏洞可以轉儲受保護的Safari瀏覽器cookie，并執行其他惡意瀏覽技術。

該惡意軟件的另一個獨特之處在于，它可以通過共享的Xcode項目來傳播。如果這些Xcode項目中的某個項目被開發者下載并構建，開發者系統上的其他項目隨后也會被感染，從而導致類似蠕蟲病毒地活動。2022年8月，SentinelOne報告又發現了一個新的XCSSET變種，該變種通過虛假的Mail應用程序和虛假的Notes應用程序來傳播，而不是像最初那樣通過Xcode項目來傳播。

04Atomic macOS Stealer（AMOS）

Atomic macOS Stealer（AMOS）又叫Atomic Stealer，是所有Mac用戶需要高度重視的惡意軟件威脅，主要針對macOS系統進行敏感信息和數據的竊取。

AMOS在功能上與其他針對macOS的信息竊取器沒有太大區別。但是它已變成一種線上服務化的工具，網絡犯罪分子可以經由犯罪論壇和專用的Telegram頻道獲得MaaS模式的AMOS服務。該惡意軟件能夠竊取密碼會話cookie、瀏覽器數據、自動填充信息以及Electrum、Binance和Exodus等加密貨幣錢包。盡管Pureland和Macstealer等其他信息竊取器也可以提供類似功能，但AMOS擁有最完整的攻擊工具包，可以向各類網絡犯罪分子提供功能完備的針對macOS系統的信息竊取服務。

05MacStealer惡意軟件

MacStealer惡意軟件可以從macOS系統上運行的Firefox、Bravo和Google Chrome等瀏覽器中竊取憑據、cookie、信用卡資料及其他敏感數據。Uptycs的安全研究人員在今年早些時候首次發現了該威脅，可以影響自Catalina開始的所有macOS版本。據研究人員介紹，MacStealer能夠從感染后的系統中提取眾多文件，包括“.txt”“.doc”“.pdf”“.xls”“.ppt”和“.zip”。需要特別提醒的是，由于該惡意軟件的開發者通過惡意軟件即服務（MaaS）模式來分發軟件，并且不斷接到各種非法團伙提出的定制化生產訂單。因此，該惡意軟件的傳播范圍與危害性仍然會進一步蔓延。

063CX供應鏈攻擊

今年3月，安全研究人員發現一種新型macOS版惡意軟件，會隨著視頻會議軟件開發商3CX的流行應用軟件更新版本一同分發，并且給受害用戶造成巨大的損失和危害。據了解，隸屬Lazarus高級持續性威脅（APT）組織的一個攻擊小組非法進入了3CX的軟件構建環境，并將這種惡意軟件引入到了macOS版3CX Electron桌面應用程序的安裝程序中，由于使用了由Sectigo頒發和DigiCert加蓋時間戳的合法3CX Ltd證書，該惡意軟件在安裝時具有較大的欺騙性，很難被使用者識別。

受影響的安裝包內包含了兩個惡意DLL文件：ffmpeg.dll和d3dcompiler_47.dll。ffmpeg.dll會在用戶安裝時被加載，并從d3dcompiler_47.DLL中進一步加載和執行payload進行系統信息收集。攻擊者可利用惡意文件從Chrome、Edge、Brave和Firefox用戶配置文件中竊取用戶數據和敏感憑據等，導致用戶敏感信息泄露。

參考鏈接：https://www.darkreading.com/endpoint/top-macos-malware-threats-proliferate