MacSync 恶意软件
MacSync 是 mac.c 数据窃取程序的更名升级版,该程序于 2025 年春季首次出现。仅仅一个月后,该恶意软件就以新名称再次出现。虽然 MacSync 仍然保留了其前身的数据窃取功能,但它引入了一个额外的后门组件。值得注意的是,原始数据窃取程序是用 C 语言开发的,而后门模块是用 Go 语言编写的,这突显了其向模块化和更复杂结构的转变。
目录
通过 ClickFix 诈骗在全球蔓延
MacSync 已在全球范围内被发现,感染主要集中在乌克兰、美国、德国、英国和西班牙。该恶意软件主要通过 ClickFix 诈骗进行传播,诱骗受害者在其系统上执行恶意命令。一旦执行,MacSync 就会通过显示虚假的密码提示符来开始渗透过程,试图窃取设备凭证。
双重功能:数据窃取和远程控制
在确保访问权限后,MacSync 会部署基于 Go 的后门。该组件连接到命令与控制 (C&C) 服务器,允许攻击者远程执行命令。同时,数据窃取模块会收集敏感信息,例如:
- 个人档案
- 登录凭证
- 加密货币钱包
为了逃避检测和阻碍分析,MacSync 使用代码混淆并擦除与其操作相关的临时文件。
后门模块的目的
后门旨在让网络犯罪分子秘密访问受感染的系统。MacSync 的后门不仅有助于远程执行命令,还为其他恶意模块留下了方便。这种模块化方法大大增加了恶意软件扩展功能并进一步入侵受感染系统的可能性。
超越 ClickFix 的扩散
虽然以 Cloudflare 为主题的 ClickFix 诈骗仍然是主要的传播媒介,但研究人员警告称,MacSync 可能通过多种传播方式进行传播。网络犯罪分子经常利用网络钓鱼和社会工程手段将恶意软件伪装成合法文件或应用程序。
一些最常见的感染技术包括:
- 在线诈骗、恶意广告和欺骗性下载
最后的想法
MacSync 与其前身 mac.c 相比,实现了重大进化,将数据窃取操作与后门功能相结合。其模块化设计和广泛的传播方式使其成为一种极其危险的威胁。用户应时刻警惕网络钓鱼活动、可疑下载和虚假更新提示,因为这些仍然是该恶意软件的主要传播途径。
