近期,专注于苹果设备管理的企业Jamf发布了其备受瞩目的《安全360:年度趋势报告》。这份报告基于来自全球90个国家、安装了Jamf软件的140万台Mac电脑所收集的真实且匿名的数据,深入分析了当前企业与用户面临的macOS安全威胁。
2025年度的报告显示,信息窃取恶意软件(即infostealer malware)在过去一年中激增了28%,一跃成为Mac平台上最主要的恶意软件类型。这一发现引起了广泛关注。
报告揭示了多项关键数据:32%的组织中至少有一台设备存在可修补的关键漏洞;在过去一年里,Jamf识别了大约1000万次网络钓鱼攻击,其中15万至20万次被认定为零日攻击;25%的组织遭受了社会工程学攻击;信息窃取恶意软件在所有检测到的Mac恶意软件中占比高达28.36%,成为最流行的恶意软件类型;每十个用户中就有一人曾点击过恶意网络钓鱼链接;超过90%的网络攻击起源于网络钓鱼。
Jamf威胁实验室总监Jaron Bradley指出,Mac电脑曾被视为创意人士和高管的专属设备,但现在越来越多地被工程师等职业人群所使用。随着Mac在工作中的普及,它也成为了攻击者的重点目标。过去认为Mac不易感染恶意软件的观点,在如今显然已不再适用。随着Mac数量的增加,它已成为攻击者关注的焦点。
尽管苹果通过XProtect提供了强大的内置系统安全机制,但企业和个人Mac用户仍不断受到攻击。Jamf的报告强调了信息窃取恶意软件所造成的破坏最为严重。这是首次发现信息窃取恶意软件超越了广告软件,成为最常见的恶意软件类型,其增长率达到了28.08%。
这类恶意软件一旦感染Mac设备,就会与攻击者的命令与控制服务器建立连接,窃取敏感数据,如iCloud钥匙串凭证。它们还会秘密安装远程桌面应用程序AnyDesk和键盘记录软件,以接管设备并收集按键记录。信息窃取恶意软件还会针对网络浏览器,窃取密码和加密货币钱包密钥等凭证。
信息窃取恶意软件之所以难以被检测,是因为它们能够躲避像VirusTotal这样的杀毒软件扫描器的检测。网络犯罪分子会将可执行文件上传到VirusTotal等平台,以确保恶意行为足够隐蔽,从而避免被流行的扫描器发现。
近年来,信息窃取恶意软件的流行度急剧上升,部分原因是其易于获取且门槛低。地下犯罪团伙越来越多地开展“恶意软件即服务”(MaaS)业务。在这种模式下,恶意软件开发者创建并维护信息窃取恶意软件等工具,并将其出租给技术能力较低的附属机构。这些附属机构获得现成的恶意软件套餐,可以随意针对目标进行攻击。
其他促成因素还包括与勒索软件等攻击相比,信息窃取恶意软件能够快速获得可观的收益。而勒索软件可能需要数周甚至数月才能让网络犯罪分子看到回报。值得注意的是,Jamf的报告还特别提到了PyInstaller的滥用。PyInstaller是一个合法的开源工具,开发者用它将Python脚本打包成独立的可执行文件。如今,攻击者开始利用它将恶意Python脚本打包,然后发送给潜在受害者在其设备上执行。
苹果在每台Mac电脑上预装了许多有价值的后台服务,以保护用户免受互联网上的潜在威胁,但这些措施往往不足以完全抵御攻击。因此,用户在防范信息窃取恶意软件方面需要采取更多措施,如在安装非官方Mac应用商店的应用程序前进行充分调查、谨慎打开链接、使用强密码和复杂密码组合、启用双因素身份验证、谨慎授予Mac权限,以及保持设备和应用程序的更新。
