MacSync 惡意軟體
MacSync 是 mac.c 資料竊取程式的更名升級版,該程式於 2025 年春季首次出現。僅僅一個月後,該惡意軟體就以新名稱再次出現。雖然 MacSync 仍然保留了其前身的資料竊取功能,但它引入了一個額外的後門組件。值得注意的是,原始資料竊取程式是用 C 語言開發的,而後門模組是用 Go 語言編寫的,這突顯了其向模組化和更複雜結構的轉變。
目錄
透過 ClickFix 詐騙在全球蔓延
MacSync 已在全球範圍內被發現,感染主要集中在烏克蘭、美國、德國、英國和西班牙。該惡意軟體主要透過 ClickFix 詐騙進行傳播,誘騙受害者在其係統上執行惡意命令。一旦執行,MacSync 就會透過顯示虛假的密碼提示符號來開始滲透過程,試圖竊取裝置憑證。
雙重功能:資料竊取和遠端控制
在確保存取權限後,MacSync 會部署基於 Go 的後門。此元件連接到命令與控制 (C&C) 伺服器,允許攻擊者遠端執行命令。同時,資料竊取模組會收集敏感資訊,例如:
- 個人檔案
- 登入憑證
- 加密貨幣錢包
為了逃避偵測和阻礙分析,MacSync 使用程式碼混淆並擦除與其操作相關的臨時檔案。
後門模組的目的
後門旨在讓網路犯罪分子秘密存取受感染的系統。 MacSync 的後門不僅有助於遠端執行命令,還為其他惡意模組留下了便利。這種模組化方法大大增加了惡意軟體擴充功能並進一步入侵受感染系統的可能性。
超越 ClickFix 的擴散
雖然以 Cloudflare 為主題的 ClickFix 詐騙仍然是主要的傳播媒介,但研究人員警告稱,MacSync 可能透過多種傳播方式傳播。網路犯罪分子經常利用網路釣魚和社會工程手段將惡意軟體偽裝成合法文件或應用程式。
一些最常見的感染技術包括:
- 網路詐騙、惡意廣告和欺騙性下載
最後的想法
MacSync 與其前身 mac.c 相比,實現了重大進化,將資料竊取操作與後門功能結合。其模組化設計和廣泛的傳播方式使其成為極其危險的威脅。用戶應時刻警惕網路釣魚活動、可疑下載和虛假更新提示,因為這些仍然是該惡意軟體的主要傳播途徑。
