苹果设备管理与安全公司mosyle近日披露了一款名为“modstealer”的跨平台恶意软件,其自一个月前现身virustotal平台以来,成功避开了所有主流杀毒引擎的检测。这款恶意软件不仅对macos系统构成威胁,还能在windows和linux环境下运行,展现出极强的跨平台攻击能力。
研究人员指出,modstealer的核心目标是窃取用户数据,尤其是加密货币钱包、账号凭证、配置文件和证书等敏感信息。该恶意软件内置了针对56种浏览器钱包扩展的攻击代码,包括safari浏览器,能够直接获取私钥和账户信息。其攻击手段高度隐蔽,通过伪造招聘开发者的广告诱导目标下载恶意文件,攻击载荷采用经过混淆的java文件(基于nodejs),可绕过基于特征码的传统防御工具。
除了数据窃取功能外,modstealer还具备截取剪贴板和屏幕的能力,并支持远程代码执行。这一功能尤为危险,可能使攻击者完全控制被感染设备。在macos系统中,该恶意软件利用苹果的launchctl工具,将自己植入为launchagent,实现长期隐蔽驻留,进一步增加了检测和清除的难度。
mosyle的调查显示,窃取数据的服务器位于芬兰,但相关基础设施与德国存在关联,疑似用于掩盖攻击者的真实位置。这种跨国布局使得追踪和打击攻击者变得更加复杂。
结合modstealer的功能特征和传播方式,mosyle认为其符合“恶意软件即服务”模式。在这种模式下,恶意程序开发者将程序打包出售给无技术背景的“加盟者”,后者可根据需要定制攻击目标,从而扩大了攻击范围和影响力。
此前,jamf公司曾报告称,信息窃取类恶意软件的数量在2025年激增至28%,成为mac恶意软件家族中的主要类型。modstealer的出现无疑加剧了这一趋势,其跨平台特性和隐蔽性使得更多企业和个人面临安全风险。
