高级 macOS 窃密软件 DigitStealer 瞄准 M2+ Mac,通过 JXA 和基于 DNS 的 C2 劫持 Ledger Live
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
2025年11月18日,Jamf Threat Labs 发现了一种名为DigitStealer的新型macOS窃密软件,具备复杂的隐蔽性和硬件感知能力。该恶意软件通过多阶段攻击专门针对M2及更新机型,窃取敏感数据并篡改加密货币钱包,使用合法托管平台,标志着macOS威胁的升级。
🎯
关键要点
- 2025年11月18日,Jamf Threat Labs 发现了名为DigitStealer的新型macOS窃密软件。
- DigitStealer具备复杂的隐蔽性和硬件感知能力,专门针对M2及更新机型。
- 该恶意软件通过多阶段攻击窃取敏感数据,并篡改加密货币钱包。
- 恶意软件伪装成合法的macOS实用工具,未被VirusTotal检测到。
- DigitStealer通过拖拽安装脚本获取有效载荷,并具备反分析特性。
- 恶意软件拒绝在虚拟机和Intel Mac上执行,专门针对Apple M2及更新型号。
- 首个主要载荷要求受害者输入macOS密码并收集凭证。
- 第二个复杂的JXA载荷用于收集浏览器数据和加密货币钱包信息。
- 第三阶段针对Ledger Live用户,修改应用配置以窃取敏感数据。
- 持久化机制通过Launch Agent动态获取载荷,持续轮询攻击者的C2服务器。
- DigitStealer的攻击活动标志着macOS威胁的重大升级,展示了复杂程度的提升。
- 恶意软件作者滥用合法服务和分发方法来绕过macOS安全控制。
❓
延伸问答
DigitStealer是什么类型的恶意软件?
DigitStealer是一种新型的macOS窃密软件,专门针对M2及更新机型,具备复杂的隐蔽性和硬件感知能力。
DigitStealer是如何窃取敏感数据的?
DigitStealer通过多阶段攻击,要求用户输入macOS密码,收集凭证,并篡改加密货币钱包应用来窃取敏感数据。
DigitStealer如何避免被检测?
DigitStealer伪装成合法的macOS实用工具,并在VirusTotal上未被检测到,同时具备反分析特性,如虚拟机检测和区域限制。
DigitStealer的攻击目标是什么?
DigitStealer主要攻击M2及更新型号的Mac,并特别针对Ledger Live等加密货币钱包用户。
DigitStealer的持久化机制是什么?
DigitStealer通过Launch Agent建立持久性,动态从DNS TXT记录获取载荷,并持续轮询攻击者的C2服务器。
DigitStealer的出现对macOS安全意味着什么?
DigitStealer的攻击活动标志着macOS威胁的重大升级,展示了针对macOS构建威胁的复杂程度正在提升。
➡️
