一、恶意软件现状
- 数量与类型激增
2024 年发现了 22 个新的 macOS 恶意软件家族,包括窃取加密货币钱包的 Poseidon Stealer、Atomic Stealer,以及针对企业的远控木马如 HZ Rat。这些恶意软件不仅窃取敏感信息(如密码、认证 Cookie),还能实施横向渗透,攻击范围已接近 Windows 用户。
- 攻击途径多样化
- 第三方软件投毒:通过破解软件、免费工具下载站传播,例如国内某下载站的 SecureCRT、Navicat 等运维工具被植入远控木马,下载量超 3 万次。
- 伪装合法程序:如 Shlayer 伪装成 Adobe Flash Player 更新,利用苹果公证服务绕过 Gatekeeper 检测。
- 供应链攻击:攻击者篡改开源代码或劫持软件包,例如 PyMafka 通过依赖项混淆攻击感染开发者项目。
二、苹果的安全机制
- 内置防护措施
- Gatekeeper:限制未签名或未公证的应用运行,默认仅允许 App Store 和已知开发者的软件安装。
- XProtect:基于签名检测恶意软件,自动更新并移除已知威胁,同时具备行为分析能力以识别未知恶意软件。
- 公证服务:开发者需提交软件进行安全扫描,苹果可快速撤销恶意软件的授权。
- 局限性
部分恶意软件通过社会工程学(如诱导用户手动绕过 Gatekeeper)或利用零日漏洞突破防护。例如,攻击者通过钓鱼邮件或恶意广告引导用户执行未签名程序。
三、用户防护建议
- 谨慎下载与安装
- 仅从 App Store 或知名开发者获取软件,避免破解版、免费工具及不明来源的.dmg 文件。
- 启用 Gatekeeper 的 “App Store 与已知开发者” 模式,并定期检查 “隐私与安全性” 设置。
- 保持系统更新
及时安装 macOS 安全更新和 XProtect 定义文件,以修复漏洞并增强防护。
- 使用第三方工具
- 安装专业安全软件(如 CleanMyMac X、Spyhunter),补充实时监控和深度扫描功能。
- 定期运行扫描,清除潜在威胁(如通过 “实时防护” 功能拦截新攻击)。
- 警惕钓鱼与恶意广告
避免点击可疑链接或下载邮件附件,尤其是声称来自官方的 “更新” 或 “发票”。
- 企业级防护
部署 MDM(移动设备管理)解决方案,限制终端访问权限,监控开发者项目的代码签名。
四、中国用户需注意的风险
国内部分下载站被黑产团伙利用,通过捆绑恶意软件感染 Mac 设备。例如,伪装成运维工具的破解软件被植入远控木马,导致数据窃取和内网渗透。建议用户优先使用官方渠道下载软件,并对第三方工具进行安全验证。
总结:Mac 并非完全免疫恶意软件,用户需结合苹果内置防护与主动安全措施,才能有效降低风险。随着威胁演变,保持安全意识和工具更新是关键。
