苹果设备管理与安全公司Mosyle近日披露了一款名为“ModStealer”的跨平台恶意软件,其自一个月前现身VirusTotal平台以来,成功避开了所有主流杀毒引擎的检测。这款恶意软件不仅对macOS系统构成威胁,还能在Windows和Linux环境下运行,展现出极强的跨平台攻击能力。
研究人员指出,ModStealer的核心目标是窃取用户数据,尤其是加密货币钱包、账号凭证、配置文件和证书等敏感信息。该恶意软件内置了针对56种浏览器钱包扩展的攻击代码,包括Safari浏览器,能够直接获取私钥和账户信息。其攻击手段高度隐蔽,通过伪造招聘开发者的广告诱导目标下载恶意文件,攻击载荷采用经过混淆的Java文件(基于NodeJS),可绕过基于特征码的传统防御工具。
除了数据窃取功能外,ModStealer还具备截取剪贴板和屏幕的能力,并支持远程代码执行。这一功能尤为危险,可能使攻击者完全控制被感染设备。在macOS系统中,该恶意软件利用苹果的launchctl工具,将自己植入为LaunchAgent,实现长期隐蔽驻留,进一步增加了检测和清除的难度。
Mosyle的调查显示,窃取数据的服务器位于芬兰,但相关基础设施与德国存在关联,疑似用于掩盖攻击者的真实位置。这种跨国布局使得追踪和打击攻击者变得更加复杂。
结合ModStealer的功能特征和传播方式,Mosyle认为其符合“恶意软件即服务”模式。在这种模式下,恶意程序开发者将程序打包出售给无技术背景的“加盟者”,后者可根据需要定制攻击目标,从而扩大了攻击范围和影响力。
此前,Jamf公司曾报告称,信息窃取类恶意软件的数量在2025年激增至28%,成为Mac恶意软件家族中的主要类型。ModStealer的出现无疑加剧了这一趋势,其跨平台特性和隐蔽性使得更多企业和个人面临安全风险。
