MacSync Stealer偽裝合法App，成功通過macOS Gatekeeper防線

鎖定macOS的資訊竊取型惡意程式MacSync Stealer，正悄悄改變其投放方式。資安業者Jamf近日揭露，最新觀察到的MacSync Stealer已不再依賴傳統的社交工程終端機指令，而是改以「已完成程式碼簽署與Apple公證」的Swift應用程式作為投放工具，成功通過macOS的Gatekeeper安全檢查。

MacSync Stealer至少自2023年起開始活動，主要目標是竊取使用者的瀏覽器帳密、系統資訊以及加密貨幣錢包資料。早期版本多半假冒通訊軟體或系統工具，誘騙使用者將檔案拖入終端機，或依指示貼上一段經過混淆的指令碼。這類手法雖然成功率不低，但行為本身相當可疑，也容易被防毒軟體或企業端點防護機制攔截。

然而，Jamf發現新版本的MacSync Stealer在投放策略上出現關鍵轉變。駭客改以Swift開發一個具備合法程式碼簽署，並通過蘋果軟體公證機制（Notarization）的Mac應用程式作為投放工具。該程式被包裝在磁碟映像檔中，外觀與一般合法App無異，使用者只要依照正常安裝流程雙擊執行，便可通過macOS的Gatekeeper安全機制，全程不需要任何終端機操作。

該應用程式本身並不直接執行竊資行為，而是扮演投放工具的角色。它會先檢查網路連線與執行環境，確認條件符合後，再從遠端伺服器下載真正的惡意指令碼執行，完成後即清除暫存檔案，降低被追蹤的可能性。

值得注意的是，Gatekeeper的設計初衷，是阻擋來自不明來源或未經簽署、公證的軟體。此次案例並非利用系統漏洞，而是濫用Apple的信任機制。只要駭客取得合法開發者憑證，並在尚未被發現前通過公證流程，就能讓惡意程式在外觀上與一般合法App無異。

在收到Jamf通報後，蘋果已撤銷該開發者憑證。之後舉凡是使用該憑證簽署的程式，在使用者端執行時，macOS理應會觸發Gatekeeper的安全檢查，並可能遭到阻擋或顯示警告。