针对 macOS 系统的 MacSync 信息窃取恶意软件最新变种，正通过经数字签名且过公证的 Swift 应用进行传播。

苹果设备管理平台的安全研究人员指出，与以往采用 " 拖放至终端 " 或 ClickFix 等较低级手段的版本相比，此次传播方式有了显著升级。

该恶意软件以经过代码签名和公证的 Swift 应用形式，封装在名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘镜像文件中，通过 https://zkcall.net/download 网站分发，无需用户与终端进行任何直接交互。

有效的数字签名和公证

研究人员在分析之时，这款 MacSync 最新变种持有有效的签名，能够绕过 macOS 系统的安全机制—— Gatekeeper 的检测。

安全研究员对这一通用架构的 Mach-O 二进制文件进行检查后确认，它既经过代码签名，也完成了 Apple 公证，其签名与开发者团队 ID GNJLS3UYZ4 相关联。不过，在研究人员将该证书直接上报 Apple 公司后，该证书现已被吊销。

该恶意软件通过编码形式的 " 投放器 " 植入目标系统。研究人员对载荷解码后，发现了 MacSync 信息窃取恶意软件的典型特征。

解混淆后的载荷

研究人员还指出，这款窃取软件具备多种规避检测的机制，包括：嵌入诱饵 PDF 文件将 DMG 镜像文件大小膨胀至 25.5MB、清除执行链中使用的脚本，以及在执行前进行网络连接检测以规避沙箱环境。

膨胀后的磁盘镜像文件内容

MacSync 信息窃取软件于 2025 年 4 月由名为 "Mentalpositive" 的黑客以 "Mac.C" 的名称推出，同年 7 月开始广泛传播，与 AMOS、Odyssey 等恶意软件一同跻身 macOS 窃取类恶意软件领域——该领域虽不像其他恶意软件领域那样拥挤，但仍具备较高获利空间。 

此前 MacPaw Moonlock 对 Mac.C 的分析显示，该恶意软件可窃取 iCloud 钥匙串凭证、浏览器中存储的密码、系统元数据、加密货币钱包数据，以及文件系统中的各类文件。

值得关注的是，在 2025 年 9 月 Mentalpositive 接受研究员采访时提到，macOS 10.14.5 及后续版本中更严格的应用公证政策，对其开发计划影响最大——这一点也体现在目前发现的恶意软件最新版本中。