根據 Jamf 的最新《Security 360:年度趨勢報告》,目前 macOS 的安全威脅情況引起了很多關注。這份報告利用從超過 140 萬台安裝了 Jamf 軟件的 Mac 收集的匿名實際數據,為企業和用戶提供了全面的威脅概覽。
報告顯示,2025 年的數據顯示,特洛伊木馬類型的惡意軟件佔所有惡意軟件的 50%,較 2024 年增長超過 33%。報告還指出,使用 Jamf 的設備中,有 44% 存在惡意網絡流量,41% 的設備運行著過期的操作系統,73% 的設備安裝了至少一個存在漏洞的應用程式。
特洛伊木馬的增長顯著,從 2024 年的 16.61% 上升至 2025 年的 50.32%。其中,Atomic Stealer(也稱為 AMOS)佔據了所有特洛伊木馬活動的 77.08%。這種情況不僅是巧合,越來越多的資訊竊取者開始利用特洛伊木馬後門來保持持續性,這也促使特洛伊木馬的檢測數字顯著上升。
資訊竊取者通常是更大攻擊的第一階段,可能會勒索數據或用來滲透其他賬戶和系統。這些功能使得資訊竊取者成為攻擊者的熱門商品,許多開發者將其作為服務提供。現代的資訊竊取者可能會建立後門和持續性,讓它們能在重啟和登出後生存,並允許攻擊者從指揮與控制(C2)伺服器發送命令。
儘管所有的資訊竊取者在技術上都算作特洛伊木馬,但並非所有特洛伊木馬都是資訊竊取者。許多特洛伊木馬會在數月內保持持久性,隱藏在背景中,並建立後門連接以進行文件外洩、下載額外的惡意代碼,或者在企業環境中,更可能是加密本地文件(勒索軟件)。
報告中還提到廣告軟件和潛在不需要的應用(PUAs)的檢測大幅下降。2024 年時,廣告軟件佔所有惡意軟件檢測的 28%,而在 2025 年降至僅 5.06%。這進一步顯示,惡意軟件經濟正逐漸向數據竊取轉變,而非廣告收入。
值得一提的是,報告還指出了幾個新發現的 Mac 惡意軟件家族。其中,DigitStealer 是一種基於 JXA 的資訊竊取者,完全無法在 VirusTotal 上檢測到。Jamf 發現它使用了一些先進的反分析技術,包括硬體檢測,限制執行於 Apple Silicon M2 芯片或更新型號。
最新的 MacSync Stealer 則已經進化,擺脫了過去依賴的社交工程手段,現在透過代碼簽名和已驗證的 Swift 應用程式進行部署。這一變化反映出攻擊者將惡意代碼偽裝成合法應用程式的趨勢,以避開檢測和繞過 macOS 的安全控制。
