去年9月,我们独家报道了Mosyle发现的跨平台信息窃取程序ModStealer,当时它能躲过所有主流杀毒引擎的检测。如今,这家苹果设备管理和安全领域的领先厂商又回来了,这次他们挖出了两个全新的macOS威胁,同样完全隐形于杀毒软件的雷达之外。
Mosyle安全研究团队再次向我们独家分享了细节:他们发现了两个此前从未被检测到的样本——跨平台加载器Phoenix Worm,以及专门用于窃取凭证的模块化macOS植入程序ShadeStager。这两个威胁在工作方式上并没有直接关联,但放在一起却清楚地表明,Mac恶意软件的 sophistication 正在快速提升。
这个时间点也和行业整体观察到的趋势完全吻合。正如我之前报道过的,过去一年里,信息窃取器和木马(如Atomic Stealer)已经成为Mac平台上最主要的恶意软件类型,攻击者正逐渐放弃那种吵闹的“砸抢式”攻击,转而追求更持久的驻留能力。而Phoenix Worm和ShadeStager,正是这种趋势的典型代表。
Phoenix Worm:低调的加载器
虽然名字里带“Worm”(蠕虫),但Phoenix Worm实际上就是一个加载器。它基于Golang开发,支持多平台,主要作用是作为初始阶段的轻量级载荷,先建立持久化驻留,再为后续攻击做准备。它不会一次性扔出完整载荷,而是悄悄先站稳脚跟。这种做法有不少明显优势。
根据Mosyle的分析,Phoenix Worm的核心功能包括:
- 与远程命令控制(C2)服务器建立通信
- 为受感染系统生成唯一标识符
- 将系统信息回传给攻击者
- 支持远程升级和执行额外载荷
Mosyle表示,Phoenix Worm看起来也不是一个独立的威胁,它的整体设计更像是某个更大工具包的一部分,负责把执行权交给攻击链后端的更高级载荷。
在分析当时,macOS和Linux版本完全没有被任何杀毒引擎检测到,Windows版本也只有极有限的检测。
ShadeStager:专为窃取凭证而生
ShadeStager则是一个后渗透工具,专门用来从已经被攻破的系统中提取高价值数据。虽然听起来很适合和Phoenix Worm搭配使用,但Mosyle明确表示两者之间并没有关联。
实际上,ShadeStager的目标似乎更多指向开发者环境和云基础设施。它重点瞄准以下内容:
- SSH密钥和已知主机记录
- AWS、Azure、GCP等云平台的凭证
- Kubernetes配置文件
- Git和Docker的认证信息
- 主流浏览器的完整配置文件
此外,它还会对主机进行详细侦察,收集用户信息、权限等级、操作系统和硬件细节、网络配置,以及与云服务和SSH会话相关的环境变量。所有数据都会被整理好,通过HTTPS通道外传,同时支持命令执行、数据窃取和文件下载。
有意思的是,ShadeStager里面没有硬编码的C2地址,而且部分代码在Mosyle研究人员拿到样本时就已经可以直接看到,不需要额外逆向。这强烈表明,这个样本被发现时很可能还在开发阶段。
简单总结
Phoenix Worm和ShadeStager虽然没有直接关联,但它们都体现了我们越来越常见的一种攻击模式:一个负责建立访问,另一个负责窃取凭证和云令牌,而且在被发现时都没有被任何杀毒软件检测到。
这就是2026年Mac恶意软件的发展方向。攻击者开始大量使用Go和Rust语言来实现跨平台兼容,采用模块化载荷把初始访问和后渗透阶段分开,并且动态配置C2基础设施,避免留下任何静态特征。最典型的例子就是Atomic Stealer,它无疑已经成为目前最流行也最令人担忧的恶意软件家族之一。这种打法已经在它及其变种身上存在了一段时间,现在看来,正在其他无关样本中逐渐扩散。
单纯基于签名的杀毒软件已经不够用了。对于今天负责保护macOS环境的管理员和安全团队来说,行为检测和实时可见性应该成为最基本的防护手段。
入侵指标(IoC)
如果Mac管理员想把这些威胁加入自己的安全工具,Mosyle提供了以下SHA256哈希值:
- ShadeStager:7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Phoenix Worm:54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
- Apple Podcasts
- Spotify
- Pocket Casts
- RSS Feed
